W styczniu tego roku znowelizowano przyjętą w 2016 roku „Dyrektywę w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w UE”. Jak komentuje ekspert Stormshield, przyjęta dyrektywa NIS2 znacząco wpłynie na polskie przedsiębiorstwa i organy publiczne. Dokument rozszerza listę podmiotów kluczowych objętych obowiązkami w obszarze bezpieczeństwa IT i nadaje im nowy wymiar. Jego implementacja będzie wyzwaniem zarówno technologiczno-finansowym, jak i HR-owym.
Podmioty kluczowe i istotne — co NIS2 w praktyce oznacza dla przedsiębiorstw i podmiotów publicznych?
Celem dyrektywy jest zapewnienie wysokiego poziomu ochrony sieci i systemów informatycznych oraz minimalizowanie ryzyka cyberataków. Wobec rosnącej skali tego zagrożenia ma przyczynić się to do lepszej ochrony krytycznej infrastruktury i kluczowych usług publicznych.
NIS2 nakłada na objęte podmioty obowiązki stosowania określonych środków ochrony oraz szereg wymogów, takich jak na przykład raportowanie incydentów naruszenia bezpieczeństwa, zapewnienie odpowiedniego poziomu bezpieczeństwa produktów i przekazywania informacji o zagrożeniach i wadach. Dyrektywa wprowadza dwie kategorie podmiotów, wobec których obowiązki są zróżnicowane.
- Podmioty kluczowe, to m.in. centralna administracja rządowa, publiczni dostawcy sieci i usług łączności elektronicznej, cyfrowych i telekomunikacyjnych na przykład operatorzy chmurowi, centra danych, dostawcy usług CDN i platformy sieci społecznościowych czy podmioty z sektora kosmicznego. Do tego katalogu zalicza się także instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki.
- Podmioty istotne w rozumieniu przepisów, to będą między innymi dostawcy wyszukiwarek internetowych, e-platformy handlowe, usługi pocztowe, kurierskie i łączności elektronicznej, logistyka i transport, usługi zaufania, produkcja i dystrybucja żywności, producenci maszyn, urządzeń i pojazdów, chemikaliów, farmaceutyków, urządzeń medycznych, przedsiębiorstwa gospodarujące odpadami, podmioty publiczne lub jedyni dostawcy usług określonego rodzaju w danym państwie członkowskim.
Kto może skorzystać?
Obowiązek zarządzania kryzysowego sprawia, że należy spodziewać się tworzenia jednostek typu Security Operations Center (SOC), funkcjonujących w formie wewnętrznych działów lub usług zewnętrznych.
Nowe przepisy obejmą także wdrażanie procedur w zakresie testowania i audytów zabezpieczeń oraz tworzenia planu ciągłości działania. Z kolei propozycja, aby systemy zabezpieczeń były najnowsze ze względu na aktualny stan wiedzy i proporcjonalne do ryzyka związanego z konkretną działalnością, oznacza konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu.
Konkretne obowiązki, jakie nałożone są na przedsiębiorstwa i podmioty publiczne, zależą od ich roli. Jednak niezależnie od niej obowiązków tych nie da się zrealizować bez odpowiedniej — z uwagi na liczebność i kompetencje — kadry.
Poszukiwani specjaliści
Specjaliści posiadający wiedzę i doświadczenie w dziedzinie cyberbezpieczeństwa będą coraz bardziej poszukiwani. To na nich w głównej mierze spocznie obowiązek wdrażania odpowiednich środków ochrony sieci i systemów informatycznych, monitorowanie i wykrywanie incydentów bezpieczeństwa oraz przeprowadzanie ocen ryzyka.
Jednocześnie skala wyzwania i związanych z nią potrzeb sprawia, że dyrektywa może być szansą dla osób, którzy nie kształciły się w obszarze technologii, a których atutem są kompetencje miękkie.
Zarządzanie projektami, kompetencje w zakresie efektywnej i skutecznej komunikacji, umiejętności analityczne — te kompetencje będą kluczowe dla chcących wykorzystać szansę, jaka powstaje w związku z przyjęciem dyrektywy. Nie obejdzie się jednak bez zaznajomienia się z technologiami informatycznymi, a w głównej mierze dyrektywa tworzy możliwości zawodowe dla specjalistów IT.
