Dyrektywa NIS2 a obowiązki podmiotów kluczowych i istotnych: wyzwania dla przedsiębiorstw i organów publicznych w Polsce

W styczniu br. znowelizowano przyjętą w 2016 roku „Dyrektywę w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w UE”. Jak komentuje ekspert Stormshield, wytwórcy rozwiązań z dziedziny bezpieczeństwa IT, przyjęta dyrektywa NIS2 znacząco wpłynie na polskie przedsiębiorstwa i organy publiczne. Dokument rozszerza listę podmiotów kluczowych objętych obowiązkami w obszarze bezpieczeństwa IT i nadaje im nowy wymiar. Jego implementacja będzie wyzwaniem zarówno technologiczno-finansowym, jak i HR-owym.

Podmioty kluczowe i istotne – co NIS2 w praktyce oznacza dla przedsiębiorstw i podmiotów publicznych?

Celem dyrektywy jest zapewnienie wysokiego poziomu ochrony sieci i systemów informatycznych oraz minimalizowanie ryzyka cyberataków.  Wobec rosnącej skali tego zagrożenia ma przyczynić się to do lepszej ochrony krytycznej infrastruktury i kluczowych usług publicznych. NIS2 nakłada na objęte nią podmioty obowiązki stosowania określonych środków ochrony oraz szereg wymogów takich jak na przykład raportowanie incydentów naruszenia bezpieczeństwa, zapewnienie odpowiedniego poziomu bezpieczeństwa produktów i przekazywania informacji o zagrożeniach i wadach. Dyrektywa wprowadza dwie kategorie podmiotów, wobec których obowiązki są zróżnicowane.

  • Podmioty kluczowe, to m.in. centralna administracja rządowa, publiczni dostawcy sieci i usług łączności elektronicznej, cyfrowych i telekomunikacyjnych na przykład operatorzy chmurowi, centra danych, dostawcy usług Content Delivery Networki platformy sieci społecznościowych czy podmioty z sektora kosmicznego. Do tego katalogu zalicza się także instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki.
  • w rozumieniu przepisów, to będą między innymi dostawcy wyszukiwarek internetowych, e-platformy handlowe, usługi pocztowe, kurierskie i łączności elektronicznej, logistyka i transport, usługi zaufania, produkcja i dystrybucja żywności, producenci maszyn, urządzeń i pojazdów, chemikaliów, farmaceutyków, urządzeń medycznych, przedsiębiorstwa gospodarujące odpadami, podmioty publiczne lub jedyni dostawcy usług określonego rodzaju w danym państwie członkowskim.

Rozszerzenie katalogu branż objętych regulacjami oznacza w praktyce, że przedsiębiorstwa i podmioty publiczne, które działają w sektorach niezbędnych dla utrzymania podstawowych funkcji społeczeństwa i gospodarki muszą stosować odpowiednie środki ochrony informacji i przestrzegać wymogów bezpieczeństwa. Założenia dyrektywy obejmują m.in. obowiązek zgłaszania incydentów i zagrożeń, obowiązek zarządzania kryzysowego, opracowanie odpowiednich polityk oraz procedur testowania i audytów oraz implementację rozwiązań technologicznych adekwatnych do ryzyka – komentuje Aleksander Kostuch, inżynier Stormshield.

W gruncie rzeczy wprowadzenie w życie dyrektywy NIS2 jest dużym wyzwaniem technologicznym,
jednocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów wyposażonych w określone kompetencje. Dotyczy to praktycznie wszystkich podmiotów, które zostaną objęte obowiązkami wprowadzonymi na jej podstawie
– dodaje ekspert wytwórcy rozwiązań z dziedziny bezpieczeństwa IT.

Kto może skorzystać?

Obowiązek zarządzania kryzysowego sprawia, że należy spodziewać się tworzenia jednostek typu Security Operations Center (SOC), funkcjonujących w formie wewnętrznych działów lub usług zewnętrznych. Nowe przepisy obejmą także wdrażanie procedur w zakresie testowania i audytów zabezpieczeń oraz tworzenia planu ciągłości działania. Z kolei propozycja, aby systemy zabezpieczeń były najnowsze ze względu na aktualny stan wiedzy i proporcjonalne do ryzyka związanego z konkretną działalnością, oznacza konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu. Konkretne obowiązki, jakie nałożone są na przedsiębiorstwa i podmioty publiczne, zależą od ich roli. Jednak niezależnie od niej obowiązków tych nie da się zrealizować bez odpowiedniej – z uwagi na liczebność i kompetencje – kadry. 

Narzędzia, które będą niezbędne dla realizacji wymagań stawianych podmiotom przez nowe prawo, takie jak firewalle umożliwiające mikrosegmentację sieci firmowych, dla wykorzystania maksimum oferowanego przez nie potencjału warto uzupełnić na przykład systemem SIEM przeznaczonym do zbierania informacji z logów, raportowania, korelowania i obsługi incydentów. Jednak taki system wymaga stałej, specjalistycznej obsługi,
co decyduje o znaczeniu czynnika ludzkiego w powodzeniu całej operacji. Podobnie sytuacja wygląda
z funkcjonowaniem SOC-ów, audytów czy tworzenia polityk bezpieczeństwa i planów działania
– wyjaśnia Aleksander Kostuch.

Specjaliści posiadający wiedzę i doświadczenie w dziedzinie cyberbezpieczeństwa, będą coraz bardziej poszukiwani. To na nich w głównej mierze spocznie obowiązek wdrażania odpowiednich środków ochrony sieci i systemów informatycznych, monitorowanie i wykrywanie incydentów bezpieczeństwa oraz przeprowadzanie ocen ryzyka. Jednocześnie jak wskazuje ekspert Stormshield skala wyzwania i związanych z nią potrzeb sprawia, że dyrektywa może być szansą dla osób, którzy nie kształciły się w obszarze technologii, a których atutem są kompetencje miękkie.

–  Rynek jest chłonny, a fachowców brakuje. Za sprawą NIS2 popyt na pracę prawdopodobnie jeszcze wzrośnie, a antidotum na to wyzwanie może być wejście do branży osób spoza niej. Cześć obowiązków niekoniecznie wymagać będzie twardych umiejętności technicznych. Dokumentacja tworzona wokół ryzyk ze sfery cyfrowego obszaru funkcjonowania firmy, raportowanie incydentów czy szkolenia, to domeny, które z powodzeniem takie osoby mogą realizować – mówi Kostuch.

Zarządzanie projektami, kompetencje w zakresie efektywnej i skutecznej komunikacji, umiejętności analityczne – te kompetencje będą kluczowe dla chcących wykorzystać szansę, jaka powstaje w związku z przyjęciem dyrektywy.

Każda z tych umiejętności będzie miała znaczenie w procesie realizacji wymagań dyrektywy, niezależnie czy będziemy je wdrażać samodzielnie czy korzystając z usług specjalistycznych firm. Efektywne zarządzanie projektem, komunikacja czy potencjał do analizy ryzyka będą istotnym elementem. W mojej ocenie, jako praktyka, tworzy to przed osobami spoza branży możliwości, aby do niej dołączyć – ocenia Aleksander Kostuch.

Nie obejdzie się jednak bez zaznajomienia się z technologiami informatycznymi, a w głównej mierze dyrektywa tworzy możliwości zawodowe dla specjalistów IT.

Zrozumienie technologii, które wykorzystywane są do ochrony sieci i systemów informatycznych, takich jak kryptografia, protokoły sieciowe, firewall, antywirusy, itp. jest niezbędne do skutecznego wdrażania rozwiązań związanych z dyrektywą NIS2 – dopowiada inżynier Stormshield.

Jak zaznacza wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające.

– W tej sytuacji stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku lub kar za niedopełnienie obowiązków. Podmioty, które nie będą przestrzegać dyrektywy, mogą być ukarane między innymi grzywnami – podsumowuje ekspert.