Potrzeba wdrożenia dyrektywy NIS2, czyli w praktyce zrewolucjonizowania podejścia do cyberbezpieczestwa, powoli toruje sobie drogę w środowisku małych i średnich operatorów telekomunikacyjnych. Eksperci są zgodni, że nie warto już czekać i trzeba liczyć się z wydatkami.
Państwa członkowskie Unii Europejskiej wdrożyły już pierwszą dyrektywę NIS (Network and Information Security), zrobiły to jednak w różnorodny sposób. Doprowadziło to do fragmentacji rynku wewnętrznego w zakresie jego cyberodporności. Pojawiły się też nowe cyberzagrożenia. W związku z powstałą potrzebą zwiększenia i ujednolicenia cyberodporności wszystkich państw członkowskich, przepisy unijne zostały zaktualizowane dyrektywą NIS2.
Dyrektywa ta wprowadza szczegółowe regulacje dotyczące infrastruktury krytycznej i weszła już w życie. Wszystkie państwa członkowskie są zobowiązane do jej wdrożenia do 17 października 2024 roku. Choć w Polsce czekamy jeszcze na projekt odpowiedniej ustawy, właściwie wiemy jakie wymagania postawi przed przedsiębiorcami. Będą też z pewnością zbieżne z wytycznymi ENISA w zakresie cyberbezpieczeństwa sieci i usług komunikacji elektronicznej. Nie ma wątpliwości, że nowe regulacje obejmą przedsiębiorców telekomunikacyjnych.
Szykuj się!
– W ramach przygotowań operatorów telekomunikacyjnych do wejścia w życie dyrektywy NIS2, Projekt MdS Sp. z o.o. zakończył w ostatnim czasie wdrożenia elementów Systemu Zarządzania Bezpieczeństwem Informacji w kilku podmiotach i szykuje się do rozpoczęcia kolejnych wdrożeń w drugim kwartale tego roku – mówi Bartosz Smulczyński, członek zarządu spółki. – Pamiętać trzeba, że jedno takie wdrożenie to okres od 2 do 6 miesięcy. Nie warto więc czekać do ostatniej chwili, bo może się okazać, że trzeba będzie przepłacić albo czekać w kolejce na wykonanie zlecenia – dodaje.
Eksperci są zgodni, że nowe procedury związane z cyberbezpieczeństwem oznaczać będą w praktyce m.in. nowe procedury obsługi incydentów, zapewnienia ciągłości działania i bezpieczeństwo łańcucha dostaw, procesów nabywania, rozwijania i utrzymania systemów informatycznych oraz nowe polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie.
Dyrektywa kładzie też duży nacisk na szkolenia z zakresu cyberbezpieczeństwa, a także stosowanie kryptografii. Warto również pamiętać o nowych terminach zgłaszania do CSIRT ostrzeżeń o wykrytych incydentach (24 godziny) oraz zgłaszania samych incydentów (72 godziny). Terminy są zatem zbliżone do wysokich wymogów określonych w przepisach o ochronie danych osobowych.
Warto też przypomnieć, że nowe regulacje określają również wysokie kary za naruszenia przepisów cyberbezpieczeństwa. W niektórych przypadkach mogą one sięgnąć nawet 10 000 000 euro lub 2% rocznego obrotu.
Jakie to koszty?
Nie jest tajemnicą, że wprowadzenie NIS2 spowoduje wzrost kosztów prowadzenia działalności wielu przedsiębiorców telekomunikacyjnych. Na Zjeździe MiŚOT w Zakopanem mówił o tym między innymi Dariusz Fudala z firmy SayF. Zaznaczył przy tym, że spełnienie tych obowiązków leży także w interesie przedsiębiorców i jest to po prostu potrzebne.
Choć szacunki się różnią, według ekspertów w ciągu najbliższych trzech do czterech lat firmy będą musiały zwiększyć swoje wydatki na cyberbezpieczeństwo o około 20-25 proc. Wydatki te mogą być mniejsze w przedsiębiorstwach, które wcześniej wdrożyły wszystkie wymagania NIS i dysponują cyberochroną na poziomie obowiązującej już dyrektywy. Tu szacowany wzrost wydatków ma wynieść około 12-15 proc.
Dodatkowe informacje w zakresie przygotowania przedsiębiorstwa do Dyrektywy NIS2 można uzyskać poprzez kontakt ze spółką Projekt MdS na adres: [email protected]