Już za sześć miesięcy ponad 160 tys. firm i instytucji z 27 państw członkowskich UE, w tym z Polski, będzie musiało wdrożyć nowe zabezpieczenia przed cyberatakami zgodnie z dyrektywą NIS2. Wymóg ten, którego termin upływa 17 października 2024 roku, nałoży na przedsiębiorstwa obowiązek raportowania incydentów dotyczących cyberbezpieczeństwa. W przypadku ich pominięcia grożą wysokie kary – do 10 milionów euro lub 2% rocznego obrotu.
Dyrektywa NIS2 wprowadza surowe sankcje dla podmiotów kluczowych, co oznacza, iż zarządy objętych przepisami firm będą musiały poważnie podejść do nowych regulacji.
Zapoznanie się i zrozumienie zakresu wymagań nowej dyrektywy NIS2 jest absolutnie niezbędne dla kierownictwa firm. Przecież to oni poniosą odpowiedzialność w przypadku udowodnionych uchybień od października 2024 – podkreśla Wojciech Głażewski, dyrektor zarządzający Check Point Software Technologies w Polsce.
Minister Cyfryzacji ma przed sobą wyzwanie przygotowania wytycznych do implementacji przepisów unijnych, co pozwoli firmom i ich zarządom na rozpoczęcie dostosowywania się do nowych wymogów. Jednakże, jak wynika z raportu „W oczekiwaniu na NIS2: stan przygotowań” przygotowanego przez CSO Council, EY Polska i Trend Micro, 25% firm w Polsce nie jest świadomych obowiązku dostosowania się do dyrektywy, a ponad 30% nie postrzega tych regulacji jako priorytetowych!
Polskie przedsiębiorstwa, na które wpływa dyrektywa NIS2, będą miały cztery lata, do końca 2028 roku, na pełne wdrożenie nowych wymagań i poddanie się audytowi. Niemniej jednak, obowiązki wejdą w życie znacznie wcześniej.
Mając na uwadze lawinowo rosnącą ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów nie tylko detekcji incydentów, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa – zaznacza Głażewski.
Jednym z najbardziej narażonych sektorów na cyberataki jest służba zdrowia. Dane firmy Check Point Research pokazują, iż liczba ataków na polskie szpitale i placówki medyczne wzrosła o kilkadziesiąt procent w ostatnim roku. Każdego tygodnia sektor ochrony zdrowia jest atakowany 1579 razy. Hakerzy kradną dane, blokują urządzenia ratujące życie, a konsekwencje mogą być tragiczne – od zakłócenia działalności opieki zdrowotnej, przez straty finansowe, po utratę życia pacjentów.
Ataki na sektor ochrony zdrowia w Europie to najczęściej ransomware (54%) i kradzież danych (46%). W Polsce jednym z najgłośniejszych przypadków był atak na sieć laboratoriów w listopadzie 2023 roku, który spowodował wyciek danych pacjentów.
Unijna dyrektywa NIS2 to nie obowiązek, ale konieczność
Dyrektywa NIS2 ma zabezpieczyć czułe punkty Unii Europejskiej przed zagrożeniami takimi jak ataki terrorystyczne, sabotaż czy cyberataki. W ramach nowych przepisów, powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), odpowiedzialna za koordynację zarządzania incydentami i kryzysami cybernetycznymi.
Eksperci podkreślają, iż stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest kluczowe. Firmy, które nie dostosują się do nowych przepisów, mogą spotkać się z poważnymi konsekwencjami – od kar finansowych po utratę certyfikatów i zezwoleń na działalność.
Przejście z zakresu bezpieczeństwa cybernetycznego do NIS2 może zakończyć się sukcesem jedynie wtedy, gdy eksperci ds. zarządzania i bezpieczeństwa informacji połączą siły. To nie jest zadanie na kilka tygodni czy miesięcy, ale zadanie ciągłe i długoterminowe – podsumowuje Głażewski.