Polskie firmy mogą mieć problem, jeśli nie dostosują się do dyrektywy NIS2

28 maja, 2024
nis2 dyrektywa

Ponad 160 000 firm i instytucji z 27 państw członkowskich UE musi do 17 października 2024 roku wprowadzić nowe zabezpieczenia przed cyberatakami. To obowiązek wynikający z dostosowania się do europejskiej dyrektywy NIS2. W przypadku udanego cyberataku należy wdrożyć raporty wymagane przez NIS2. W przeciwnym razie grożą wysokie kary: do 10 milionów Euro lub 2 proc. rocznego obrotu.

Dyrektywa NIS2 wprowadzi również dotkliwe kary w wysokości nawet 10 mln euro lub 2 proc. światowych obrotów dla podmiotów kluczowych, co sprawia, że powinny się nią zainteresować także zarządy objętych przepisami przedsiębiorstw. Jak podkreślają eksperci ds. cyberbezpieczeństwa, grupa ta po raz pierwszy będzie osobiście odpowiedzialna za awarie bezpieczeństwa cybernetycznego. 

Przed Ministrem Cyfryzacji stoi zatem zadanie pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, aby firmy i odpowiedzialne prawnie i finansowo zarządy mogły już teraz zacząć dostosowywać się do zmian. Tymczasem – jak wynika z Raportu „W oczekiwaniu na NIS2: stan przygotowań”  CSO Council, EY Polska, Trend Micro – 25 proc. firm w Polsce nie ma nawet świadomości, że dyrektywa jej dotyczy, a ponad 30 proc. organizacji nie postrzega nowych regulacji jako priorytetu.

Tymczasem polskie spółki, których dotyczy dyrektywa NIS2, będą miały cztery lata (do końca 2028 r.), na wdrożenie nowych wymogów i poddanie się pierwszemu audytowi. Nowe regulacje zaczną jednak obowiązywać wcześniej.

Eksperci firmy Check Point wskazują również na najbardziej wrażliwe sektory gospodarki, które mogą być narażone na ataki cybernetyczne a podlegają nowym obowiązkom NIS2. Podkreślają jednocześnie, że blisko 38 proc. Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych (Badanie „Dane osobowe – czy wiemy, jak je chronić?” (IV 2023) przeprowadzone przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych).  

Szpitale muszą się zabezpieczać

Jednym z najbardziej zagrożonych sektorów cyberatakami jest służba zdrowia. Jak wynika z najnowszych danych firmy Check Point Research, dane pacjentów polskich szpitali i placówek medycznych stają się coraz bardziej pożądanym celem dla przestępców, którzy żądają okupu lub sprzedają informacje na czarnym rynku.

W ostatnim roku liczba ataków na szpitale i instytucje medyczne wzrosła o kilkadziesiąt procent. Co tydzień hakerzy atakują sektor ochrony zdrowia 1579 razy – wynika z danych firmy Check Point.

Jak wynika z raportu ENISA hakerzy najczęściej atakują europejski sektor ochrony zdrowia za pomocą ransomware (54 proc.). Kolejnym rodzajem są cyberataki związane z danymi (46 proc.), włamania (13 proc.) czy DDos (9 proc.). W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na znaną sieć laboratoriów w listopadzie 2023 roku.

Według danych KRD, w ciągu ostatnich sześciu miesięcy w Polsce miały miejsce dwa znaczące włamania, podczas których wyciekły informacje osobowe około 400 tysięcy Polaków. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.  

Edukację, infrastrukturę krytyczna i wojskową czekają wyzwania 

Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.

Zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Od początku br. NASK wykrył ponad 30 tys. cyberataków, których celem było uderzenie w naszą infrastrukturę krytyczną, kradzież informacji i działania fraudowe – mówił wiceszef cyfryzacji Paweł Olszewski. Z najnowszych danych firmy Check Point Research wynika, że najczęściej atakowanym sektorem na świecie jest tzw. edukacji (2.314 razy tygodniowo), instytucji rządowych i wojskowych (1.633) i sektor medyczny (1.579). 

Liczba ataków na wybrane branże na świecie (Raport -30.04.2024 Check Point Software):

Liczba ataków na wybrane branże na świecie

Co nowa dyrektywa NIS2 będzie w praktyce oznaczać dla przedsiębiorstw i podmiotów publicznych?

Przede wszystkim obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka. Za nieprzestrzeganie przepisów grożą bowiem wysokie grzywny. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej.

Firma Check Point przygotowała przewodnik, który ma na celu przekazanie informacji, w jaki sposób można zabezpieczyć dane i infrastrukturę IT zgodnie z NIS2, bazując na analogii z zabezpieczeniem domu przed złodziejami. Podstawowe obowiązki sprowadzają się do 4 obszarów: wprowadzenia systemów alarmowych (obieg informacji i instrukcje reakcji firmy), powołania personelu odpowiedzialnego za reakcję (oprócz głównego inspektora bezpieczeństwa informacji (CISO) ds. bezpieczeństwa danych konieczne będzie powołanie inspektora ochrony danych (DPO). Należy uważać, aby nie przypisywać obu stanowisk jednej osobie, ale rozsądnie podzielić między nimi zadania), prowadzenia stałych audytów bezpieczeństwa (poddanie firmy analizie pod kątem sytuacji ryzyka, dostosowanej do NIS2), systemowi reakcji na incydenty (wczesne ostrzeganie władz – w ciągu 24 h od incydentu, formalne sprawozdania w ciągu 72 h, raporty końcowe). 

Przejście z zakresu bezpieczeństwa cybernetycznego do NIS2 może zakończyć się sukcesem jedynie wtedy, gdy eksperci ds. zarządzania i bezpieczeństwa informacji połączą siły. Eksperci są zgodni, że to nie jest prosty projekt, nie jest to zadanie na kilka tygodni czy miesięcy, lecz zadanie ciągłe i długoterminowe.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]