16 stycznia rozpoczął się nowy rozdział w historii europejskiej polityki bezpieczeństwa. W życie weszła dyrektywa NIS 2, przebudowująca ramy europejskiego porządku infrastruktury krytycznej i cyfrowej. Fabryki, elektrownie, wodociągi, a także banki czy szpitale czekają spore zmiany.
- Cyberterroryzm – ofiarą może być np. szpital
- Co zmienia dyrektywa?
- Ogromne kary za niedostosowanie się do nowego prawa
- Kiedy implementacja dyrektywy w Polsce?
Cyberterroryzm – ofiarą może być np. szpital
Rok 2022 ukazał nam szereg zagrożeń dla bezpieczeństwa zbiorowego. Hakerzy sparaliżowali czasowo duńskie koleje, przejęli kontrolę nad brytyjskimi wodociągami i zagrozili życiu pacjentów szpitala w Wersalu. Ich działania są coraz częściej porównywane do aktów terroru. - Stoimy w obliczu nowego sposobu prowadzenia wojny. Powtarzające się ataki o podobnym charakterze na wrażliwe cele infrastruktury krytycznej stały się częścią naszej rzeczywistości. Stawka jest wysoka. Od tego, czy będziemy w stanie odpowiedzieć cyberprzestępcom, zależeć będzie w jakiej Europie przyjdzie nam żyć: niestabilnej, targanej kryzysami, czy potrafiącej ochronić swoją infrastrukturę i obywateli - mówi Krzysztof Wójtowicz z ICsec.
Obowiązujące dotychczas reguły prawne okazały się nieskuteczne wobec nowych niebezpieczeństw. Dyrektywa ma zabezpieczyć czułe punkty wspólnoty na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi. Państwa mają być zobowiązane do przeznaczania większych środków na wzmocnianie swoich zabezpieczeń.
Co zmienia dyrektywa?
Dyrektywa ma ułatwić zarządzanie ryzykiem, dlatego wprowadza dwie jasne kategorie podmiotów: kluczowe i ważne. Zostaną one objęte szczególnymi środkami nadzoru i egzekwowania przepisów, skonstruowanymi w oparciu o cztery założenia: skuteczność, proporcjonalność, odstraszenie i dostosowanie do indywidualnego przypadku. Różnica pomiędzy podmiotami ważnymi i kluczowymi wyraża się w stosowaniu środków nadzoru. W przypadku podmiotów ważnych audyty są przeprowadzane po naruszeniach, nie są one też objęte kontrolami wyrywkowymi.
NIS 2 oznacza powszechną mobilizację i współodpowiedzialność. Dyrektywa rozszerza definicje sektorów i rodzajów podmiotów krytycznych objętych regulacjami na polu cyberbezpieczeństwa. Od 16 stycznia dyrektywa obejmie swym parasolem 11 sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, wodociągi, spółki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i produkcja żywności. Firmy z tych obszarów zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, a także przeprowadzania audytów bezpieczeństwa, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom.
Ogromne kary za niedostosowanie się do nowego prawa
Organizacje, które nie dostosują się do prawa, czekają poważne konsekwencje. Za nieprzestrzeganie przepisów grozi grzywna do 2 proc. globalnych obrotów. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek. Mogą oni zostać zawieszeni w ramach funkcji.
- Twórcom nowych reguł zależało na tym, by były one skuteczne i egzekwowalne. Największa odpowiedzialność spoczywa na operatorach infrastruktury krytycznej. Obiekty takie jak elektrownie, stacje uzdatniania wody czy rafinerie w coraz większym stopniu polegają na technologii niewymagającej udziału człowieka. Podłączone do sieci, komunikujące się między sobą urządzenia nie tylko ułatwiają zarządzanie dostawami i zwiększają wydajność, ale stanowią też punkt krytyczny całego systemu. Skuteczny atak na ten obszar mógłby uruchomić katastroficzny scenariusz dla gospodarki i społeczeństwa. Dlatego ich odpowiednie zabezpieczenie stanowi dziś główne wyzwanie dla zarządców spółek - tłumaczy ekspert.
Kiedy implementacja dyrektywy w Polsce?
Na początku stycznia w wykazie prac legislacyjnych i programowych Rady Ministrów pojawiła się kolejna wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Znalazły się w niej zapisy dotyczące współpracy operatorów przy tworzeniu strategii bezpieczeństwa, zgłaszania incydentów, zasad przyznawania certyfikatów. Projekt wprowadza też niezwykle istotną w kontekście wykonania postanowień dyrektywy kategorię Operatora Strategicznej Sieci Bezpieczeństwa. Będzie to jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny, który posiada infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Musi posiadać środki techniczne i organizacyjne, zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej czy świadectwo bezpieczeństwa przemysłowego pierwszego stopnia.
Na implementacje będziemy musieli jeszcze poczekać. Zanim projekt zostanie skierowany do Sejmu, musi się nim zająć Komitet Stały Rady Ministrów.