Dyrektywa NIS 2 zakłada samoidentyfikację podmiotów, które zobowiązane są złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych.
NIS 2 to ogólnounijne przepisy dotyczące cyberbezpieczeństwa, których celem jest strategiczna współpraca i gotowość państw członkowskich do reagowania na incydenty bezpieczeństwa komputerowego. Cały czas czekamy na wprowadzenie tej dyrektywy do ustawodawstwa polskiego. O ile treść NIS 2 znamy w pełni dzięki wytycznym UE, o tyle dla firm najrozsądniej byłoby poczekać na to co ustali polski Sejm. Niestety, im dłużej przedsiębiorstwa będą czekać, tym krótszy okres będą miały na zaplanowanie i wprowadzanie rozwiązań w życie.
Określ się sam
Dotychczasowe rozdzielenie na operatorów usług kluczowych i dostawców usług cyfrowych ustępuje miejsca podziałowi na podmioty kluczowe i ważne, które muszą być wyznaczone
w określonych sektorach i podsektorach.
– Mam wrażenie, że większość osób rozmawiających o NIS 2 próbuje się dowiedzieć przede wszystkim czy będzie ich to dotyczyć oraz jak się przygotować do nowej rzeczywistości. Są to oczywiście pytania istotne, jednak należy pamiętać, że nie wyczerpują tematu – mówi Konrad Badowski z Axis Communications. – Po pierwsze, w pośredni lub bezpośredni sposób, NIS
2 będzie dotyczyć niemal każdego. Po drugie, najpierw trzeba samemu przeprowadzić rachunek sumienia i zobaczyć, do której grupy się należy. To właśnie firmy powinny skupić się na odpowiednim określeniu własnej działalności, a nie czekać aż ktoś wezwie je do audytu.
Przedsiębiorstwa będą musiały same złożyć wniosek o wpis do wykazu podmiotów kluczowych bądź ważnych. Nowe przepisy pozwalają także pracownikom administracji publicznej na wpisanie podmiotu, jeśli sam tego nie zrobił, a spełnia przesłanki. Oczywiście, firmie przysługiwać będzie skarga do sądu administracyjnego. Projekt nowelizacji dopuszcza nawet dopisanie osoby fizycznej, jeśli spełnia konkretne wymagania, np. świadczy usługę kluczową dla krytycznej działalności społecznej lub gospodarczej.
Co ważne, podmioty będą zobowiązane do złożenia wniosku o wpis do rejestru w terminie
2 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub ważny.
– Dwa miesiące to mało czasu na zebranie wszystkich potrzebnych informacji, zwłaszcza
w przypadku bardzo dużych firm. Dlatego o wiele łatwiej jest zacząć ten proces wcześniej, we własnym tempie. Nawet jeśli nie ma się całkowitej pewności co do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, są pewne podstawy, od których można zacząć – mówi Konrad Badowski.
Rachunek sumienia
Cyberbezpieczeństwo jest dużą częścią ogólnych systemów bezpieczeństwa, takich jak kamery, czujniki ruchu, interkomy czy radary. Nawet myśląc o sprzęcie wykorzystywanym przez działy ochrony, trzeba zadać sobie kilka podstawowych pytań, aby dobrze rozpoznać sytuację wyjściową. Na przykład po to by wiedzieć ile jeszcze pracy pozostało w łataniu dziur systemów bezpieczeństwa. Włamanie nawet do jednej kamery może umożliwić przestępcom dostęp do całego systemu lub – w najlepszym przypadku – rozpoznanie schematów poruszania się po budynku pracowników, kradzież tożsamości czy identyfikację martwych stref.
– I najważniejsze - zanim wejdzie się w szczegóły, dobrze jest zacząć od solidnych postaw. Dlatego też przygotowałem listę podstawowych pytań, które warto sobie zadać już teraz – dopowiada Konrad Badowski.
- Czy wszystkie moje kamery mają najnowsze łatki bezpieczeństwa?
- Czy mam opracowaną procedurę na wypadek „awarii” kamery?
- Czy producent pozwala na dostęp do kamer, w przypadku utraty hasła?
- Czy wiem, kto jest prawdziwym producentem moich urządzeń?
- Czy dostawca moich urządzeń ma pełną kontrolę nad FW?
- Czy mój system pozwala na masową zmianę haseł w urządzeniach?
- Czy producent moich urządzeń nadal bada podatności i udostępnia łatki bezpieczeństwa?
Powyższa lista zawiera podstawowe pytania. Można ją poszerzyć o pytania bardziej szczegółowe, dostosowane do konkretnej branży. Warto również zauważyć, że powyższe pytania wynikają nie tylko z obowiązków narzuconych przez NIS2, ale ze zwykłego, zdroworozsądkowego podejścia do bezpieczeństwa urządzeń sieciowych. Czas na wdrożenie dyrektywy do krajowych porządków prawnych mija 18 października 2024 roku. Nie jest jeszcze wiadomo ile czasu przedsiębiorcy będą mieć na zastosowanie się do nowych obowiązków.