Pamiętacie RODO? Firmy będą musiały stawić czoła nowej rewolucji. I nowym drakońskim karom
Półtora roku nasz kraj ma na przyjęcie nowych przepisów, które wprowadziła dyrektywa NIS-2. Dla wielu polskich firm z branż do tej pory nieuznawanych za krytyczne oznacza to konieczność wdrożenia o wiele ostrzejszych procedur bezpieczeństwa cyfrowego. Jeśli zignorują nowe zalecenia, zapłacą gigantyczne kary, tak samo wysokie jak w przypadku RODO.
Rosnące znaczenie technologii cyfrowych w branżach o krytycznych, takich jak transport, energetyka, ochrona zdrowia czy finanse, naraża działające w nich przedsiębiorstwa na cyberataki – uznała Bruksela i przyjęła dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii w skrócie NIS-2. Nowe regulacje mają zwiększyć odporność firm na cyberzagrożenia, zastępując wcześniejszą ich wersję z 2016 roku. Państwa członkowskie mają czas na przyjęcie nowych przepisów do 17 października 2024 roku.
NIS-2 wprowadza spójne standardy i praktyki w zakresie cyberbezpieczeństwa oraz procedur zgłaszania incydentów w całej UE oraz promuje współpracę między państwami w zakresie wymiany informacji o zagrożeniach cyfrowych.
Jakich firm dotyczą zapisy nowej dyrektywy?
NIS-2 prostuje nieprecyzyjne sformułowania, które zawierała NIS i rozszerza przepisy na nowe branże, w tym dostawców infrastruktury cyfrowej, poprzez wprowadzenie klasyfikacji podmiotów jako „istotne” i „ważne”.
Przedsiębiorcy zatrudniający ponad 50 pracowników i osiągający roczny obrót przekraczający 10 milionów euro działający w Unii Europejskiej w takich branżach, jak transport, energetyka, ochrona zdrowia i finanse, zostanie automatycznie uznany za „istotny” lub „ważny” dla bezpieczeństwa i będzie podlegać przepisom nowej dyrektywy.
Dzięki tej zmianie kryteriów w porównaniu z pierwotną dyrektywą NIS liczba objętych ochroną podmiotów może zwiększyć się nawet dziesięciokrotnie – wskazują eksperci firmy Fortinet.
Ważne i istotne firmy muszą reagować szybciej i skuteczniej
NIS-2 ma usprawnić zgłaszanie incydentów naruszenia cyfrowego bezpieczeństwa. Zgodnie z nowymi wytycznymi, firmy muszą przekazać raport „o wczesnym ostrzeżeniu” w ciągu 24 godzin od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godzin oraz przedstawić ostateczny raport w ciągu miesiąca. Za zignorowanie nowych przepisów przewidziano identyczne kary finansowe, jak w przypadku załamania przepisów RODO, do 10 mln euro lub 2 proc. rocznych przychodów (całej grupy) w zależności od tego, która kwota jest wyższa.
Ricardo Ferreira, CISO (ang. Chief Information Security Officer, pol. szef bezpieczeństwa informacji) w Fortinet, uważa, że pomimo dwuletniego okresu wdrożenia zapewnienie zgodności krajowych regulacji z NIS-2 będzie czasochłonne.
Jeszcze bardziej uciążliwe będą terminy raportowania, które wymagają od firm inwestowania w technologie – ostrzega.
Jak podkreślają eksperci, brak działań podejmowanych w czasie oczekiwania na pełne wdrożenie dyrektywy może narazić podmioty na potencjalne cyfrowe zagrożenia.
Dlatego istotne jest bieżące monitorowanie stanu bezpieczeństwa infrastruktury IT, by nie ułatwiać przestępcom znalezienia w niej luk – zaleca Fortinet.
Sztuczna inteligencja na straży bezpieczeństwa cyfrowego
Ricardo Ferreira radzi, że chcąc poradzić sobie z rosnącym wzrostem zagrożeń, przedsiębiorcy mogą sięgnąć po sztuczną inteligencję nowej generacji i takie rozwiązania, jak wirtualny analityk bezpieczeństwa.
Rozwiązania te mogą analizować przychodzące zagrożenia w czasie krótszym niż sekunda, umożliwiając zespołom ds. bezpieczeństwa proaktywne powstrzymywanie przestępców i złośliwego oprogramowania, zanim przenikną do sieci – tłumaczy ekspert.
