Europa przesta\u0142a traktowa\u0107 cyberbezpiecze\u0144stwo jako temat dla administrator\u00f3w system\u00f3w. Dzi\u015b to obszar twardego prawa, realnych sankcji i osobistej odpowiedzialno\u015bci zarz\u0105d\u00f3w. Dyrektywa NIS2 oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpiecze\u0144stwa nie s\u0105 kolejn\u0105 regulacj\u0105 z unijnej p\u00f3\u0142ki. To sygna\u0142, \u017ce cyfrowa odporno\u015b\u0107 firmy staje si\u0119 warunkiem jej funkcjonowania.<\/p>\n\n\n\n
Nie chodzi ju\u017c o to, czy firma ma firewalla. Chodzi o to, czy potrafi udowodni\u0107, \u017ce \u015bwiadomie zarz\u0105dza ryzykiem cybernetycznym.<\/p>\n\n\n\n
NIS2 rozszerza katalog podmiot\u00f3w obj\u0119tych regulacj\u0105. Opr\u00f3cz energetyki, finans\u00f3w czy ochrony zdrowia, przepisy obejmuj\u0105 r\u00f3wnie\u017c producent\u00f3w \u017cywno\u015bci, firmy logistyczne, sektor chemiczny, dostawc\u00f3w us\u0142ug cyfrowych, przedsi\u0119biorstwa wodno-kanalizacyjne czy podmioty z \u0142a\u0144cucha ICT. W praktyce oznacza to, \u017ce \u015brednie i du\u017ce firmy dzia\u0142aj\u0105ce w strategicznych sektorach nie mog\u0105 ju\u017c ignorowa\u0107 tematu.<\/p>\n\n\n\n
Je\u017celi organizacja spe\u0142nia okre\u015blone progi zatrudnienia lub przychod\u00f3w i dzia\u0142a w sektorze uznanym za kluczowy lub wa\u017cny, obowi\u0105zki s\u0105 jednoznaczne. System zarz\u0105dzania bezpiecze\u0144stwem informacji. Analiza ryzyka. Procedury reagowania na incydenty. Zg\u0142aszanie powa\u017cnych narusze\u0144 w kr\u00f3tkich terminach. Nadz\u00f3r nad dostawcami.<\/p>\n\n\n\n
To nie rekomendacje. To wymogi ustawowe.<\/p>\n\n\n\n
Najbardziej prze\u0142omowa zmiana nie dotyczy technologii, lecz odpowiedzialno\u015bci. NIS2 wprost wskazuje, \u017ce organy zarz\u0105dzaj\u0105ce maj\u0105 obowi\u0105zek zatwierdza\u0107 i nadzorowa\u0107 \u015brodki zarz\u0105dzania ryzykiem cybernetycznym. W praktyce oznacza to, \u017ce cz\u0142onkowie zarz\u0105du nie mog\u0105 zas\u0142oni\u0107 si\u0119 argumentem \u201eto sprawa IT\u201d.<\/p>\n\n\n\n
Je\u017celi dojdzie do powa\u017cnego incydentu, organ nadzorczy mo\u017ce bada\u0107 nie tylko skal\u0119 szkody, lecz r\u00f3wnie\u017c to, czy zarz\u0105d realnie monitorowa\u0142 poziom bezpiecze\u0144stwa, czy przyjmowa\u0142 raporty, czy zapewni\u0142 odpowiedni bud\u017cet i czy reagowa\u0142 na sygna\u0142y ostrzegawcze.<\/p>\n\n\n\n
Cyberbezpiecze\u0144stwo staje si\u0119 elementem \u0142adu korporacyjnego. Tak samo jak sprawozdawczo\u015b\u0107 finansowa czy zgodno\u015b\u0107 z regulacjami \u015brodowiskowymi.<\/p>\n\n\n\n
Nowe przepisy przewiduj\u0105 dotkliwe kary administracyjne. Dla podmiot\u00f3w kluczowych mog\u0105 si\u0119ga\u0107 10 mln euro lub 2 procent rocznego obrotu. Dla podmiot\u00f3w wa\u017cnych do 7 mln euro lub 1,4 procent obrotu. Do tego dochodz\u0105 kary za niewykonanie decyzji organ\u00f3w, a tak\u017ce potencjalne konsekwencje reputacyjne i kontraktowe.<\/p>\n\n\n\n
Warto zauwa\u017cy\u0107, \u017ce ustawodawca przewidzia\u0142 okres przej\u015bciowy w zakresie stosowania cz\u0119\u015bci kar administracyjnych. To jednak nie jest czas na zw\u0142ok\u0119. To czas na przygotowanie. Organizacje, kt\u00f3re rozpoczn\u0105 dzia\u0142ania dopiero w momencie pierwszej kontroli, b\u0119d\u0105 ju\u017c sp\u00f3\u017anione.<\/p>\n\n\n\n
Jednym z najbardziej wymagaj\u0105cych element\u00f3w NIS2 jest obowi\u0105zek kontroli \u0142a\u0144cucha dostaw. Firmy musz\u0105 analizowa\u0107 nie tylko w\u0142asne systemy, lecz r\u00f3wnie\u017c bezpiecze\u0144stwo dostawc\u00f3w sprz\u0119tu, oprogramowania i us\u0142ug.<\/p>\n\n\n\n
Nowelizacja KSC wprowadza dodatkowo mechanizm uznania okre\u015blonego podmiotu za dostawc\u0119 wysokiego ryzyka. W takiej sytuacji przedsi\u0119biorstwa mog\u0105 zosta\u0107 zobowi\u0105zane do ograniczenia lub wyeliminowania jego produkt\u00f3w w okre\u015blonym czasie. To potencjalnie ogromne wyzwanie organizacyjne i finansowe, zw\u0142aszcza w sektorach infrastrukturalnych.<\/p>\n\n\n\n
Oznacza to, \u017ce decyzje zakupowe w obszarze IT i OT przestaj\u0105 by\u0107 wy\u0142\u0105cznie kwesti\u0105 ceny i funkcjonalno\u015bci. Staj\u0105 si\u0119 decyzjami strategicznymi, obarczonymi ryzykiem regulacyjnym.<\/p>\n\n\n\n
NIS2 wprowadza jasne obowi\u0105zki raportowe. Powa\u017cne incydenty musz\u0105 by\u0107 zg\u0142aszane w okre\u015blonych ramach czasowych, a nast\u0119pnie szczeg\u00f3\u0142owo analizowane. Celem nie jest karanie za sam fakt ataku, lecz za brak przygotowania i brak reakcji.<\/p>\n\n\n\n
Firmy, kt\u00f3re do tej pory ukrywa\u0142y incydenty z obawy przed utrat\u0105 reputacji, b\u0119d\u0105 musia\u0142y zmieni\u0107 podej\u015bcie. Transparentno\u015b\u0107 staje si\u0119 elementem systemu bezpiecze\u0144stwa.<\/p>\n\n\n\n
Paradoksalnie NIS2 mo\u017ce by\u0107 dla wielu firm szans\u0105. Organizacje, kt\u00f3re uporz\u0105dkuj\u0105 procesy, zinwentaryzuj\u0105 aktywa, wdro\u017c\u0105 standardy zarz\u0105dzania bezpiecze\u0144stwem i przeszkoli\u0105 kadr\u0119 zarz\u0105dzaj\u0105c\u0105, zyskaj\u0105 co\u015b wi\u0119cej ni\u017c zgodno\u015b\u0107 z przepisami.<\/p>\n\n\n\n
Zyskaj\u0105 przewidywalno\u015b\u0107. Lepsz\u0105 kontrol\u0119 nad ryzykiem. Wiarygodno\u015b\u0107 wobec partner\u00f3w biznesowych i instytucji finansowych. W \u015bwiecie, w kt\u00f3rym cyberatak mo\u017ce zatrzyma\u0107 produkcj\u0119, zablokowa\u0107 logistyk\u0119 lub ujawni\u0107 dane klient\u00f3w, odporno\u015b\u0107 cyfrowa staje si\u0119 realnym elementem warto\u015bci przedsi\u0119biorstwa.<\/p>\n\n\n\n
Nie brzmi ono \u201eczy jeste\u015bmy obj\u0119ci NIS2\u201d.<\/p>\n\n\n\n
Brzmi \u201eczy w razie ataku potrafimy wykaza\u0107, \u017ce zrobili\u015bmy wszystko, co wymagane i rozs\u0105dne\u201d.<\/p>\n\n\n\n
Bo w nowej rzeczywisto\u015bci prawnej to nie sam incydent b\u0119dzie najwi\u0119kszym problemem. Najwi\u0119kszym problemem b\u0119dzie brak dowodu, \u017ce organizacja by\u0142a na niego przygotowana.<\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Europa przesta\u0142a traktowa\u0107 cyberbezpiecze\u0144stwo jako temat dla administrator\u00f3w system\u00f3w. Dzi\u015b to obszar twardego prawa, realnych sankcji i osobistej odpowiedzialno\u015bci zarz\u0105d\u00f3w. Dyrektywa NIS2 oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpiecze\u0144stwa nie s\u0105 kolejn\u0105 regulacj\u0105 z unijnej p\u00f3\u0142ki. To sygna\u0142, \u017ce cyfrowa odporno\u015b\u0107 firmy staje si\u0119 warunkiem jej funkcjonowania. Nie chodzi ju\u017c […]<\/p>\n","protected":false},"author":1,"featured_media":659,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[26],"tags":[],"class_list":["post-658","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-pl"],"_links":{"self":[{"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/posts\/658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sicomx.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=658"}],"version-history":[{"count":1,"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/posts\/658\/revisions"}],"predecessor-version":[{"id":660,"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/posts\/658\/revisions\/660"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sicomx.com\/index.php?rest_route=\/wp\/v2\/media\/659"}],"wp:attachment":[{"href":"https:\/\/sicomx.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sicomx.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sicomx.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}