Cyberbezpieczeństwo jako inwestycja – nie bójmy się NIS2!

Cyberbezpieczeństwo jako inwestycja – nie bójmy się NIS2!

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej, szerzej znana jako NIS2, to kluczowy akt prawny, który wpłynie na funkcjonowanie wielu organizacji. Jest to aktualizacja obowiązującej od 2016 roku dyrektywy NIS (wdrożone w Polsce w 2018 r. poprzez Ustawę o Krajowym Systemie Cyberbezpieczeństwa). Obecnie proces transpozycji NIS2 do polskiego porządku prawnego znajduje się na końcowym etapie, a nowelizacja ustawy ma wejść najpóźniej w życie już jesienią tego roku. 

Kogo dotyczy dyrektywa? 

Choć NIS2 obejmuje przede wszystkim sektory kluczowe i istotne z punktu widzenia gospodarki i bezpieczeństwa Polski, jej wytyczne warto potraktować jako uniwersalny drogowskaz dla każdej organizacji dążącej do zwiększenia swojej cyberodporności. 

Co należy wdrożyć? 
Firmy należące do sektorów kluczowych i ważnych mają obowiązek samorejestracji. Dlatego w pierwszej kolejności warto zweryfikować, czy nasza organizacja spełnia kryteria operatora usługi kluczowej lub ważnej (m.in. wielkość przedsiębiorstwa i sektor w którym działamy). Następnie należy skupić się na wdrożeniu wymaganych środków technicznych i organizacyjnych, takich jak: 

  • polityka szacowania i zarządzania ryzykiem,
  • procedury obsługi incydentu i zapewnienia ciągłości działania,
  • bezpieczeństwo łańcucha dostaw,
  • praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
  • polityki i procedury dotyczące kryptografii i szyfrowania,
  • zarządzanie zasobami ludzkimi, kontrola dostępu i zarządzanie aktywami,
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego.

Dodatkowo organizacje objęte dyrektywą będą zobowiązane do przeprowadzania audytów cyberbezpieczeństwa co najmniej raz na trzy lata. Warto jednak podkreślić, że powyższa lista nie jest zamknięta – każda firma powinna dostosować swoje polityki i procedury do specyfiki prowadzonej działalności oraz realnych zagrożeń.

Cyberbezpieczeństwo jako inwestycja, a nie koszt
Wejście w życie znowelizowanej ustawy to doskonała okazja do dokonania przeglądu systemów cyberbezpieczeństwa w organizacji – zasobów, ryzyk, umiejętności i poziomu wiedzy. Cyberodporność przynosi szereg korzyści:

  • minimalizuje ryzyko potencjalnych kar związanych z regulacjami lub wyciekami danych,
  • zmniejsza prawdopodobieństwo udanego ataku oraz koszty jego skutków,
  • wzmacnia zaufanie klientów i partnerów biznesowych,
  • stanowi przewagę konkurencyjną.

Przedsiębiorcy powinni zadać sobie nie pytanie: „Czy stać mnie na rozwiązania z zakresu cyberbezpieczeństwa?”, lecz „Czy stać mnie na obsługę incydentu, odbudowę działalności, zarządzanie kryzysem wizerunkowym i zapłacenie kar?”.

Na szczęście, przedsiębiorcy nie pozostają sami z tym wyzwaniem. O trudnościach związanych z wdrażaniem regulacji, trendach i nowoczesnych technologiach będą dyskutować eksperci podczas największych targów cyberbezpieczeństwa w Polsce – CYBERSEC EXPO & FORUM , które odbędą się 11–12 czerwca w Krakowie.