Dyrektywa NIS2 – edukacja firm MŚP kluczem do sukcesu

Anna Wrzesińska
Lucky Monday PR&Events
Kościuszki 65/28
30-114 Kraków
biuro|luckymonday.pl| |biuro|luckymonday.pl
+48 691769463
www.luckymonday.pl
Dyrektywa NIS2 ma zmienić sposób, w jaki organizacje w całej Europie zarządzają swoim cyberbezpieczeństwem. Artykuł przygotowany przez Sharp Europe, wyjaśnia, co dyrektywa NIS2 oznacza dla małych i średnich przedsiębiorstw oraz jak mogą one przygotować się do nadchodzących zmian.
Współczesne firmy rozwijają się dzięki łączności. Poczta elektroniczna, spotkania online, praca w otwartych sieciach Wi-Fi, udostępnianie dokumentów… nasz świat jest połączony i otwarty na biznes. Mając to na uwadze, firmy z sektora MŚP są dziś bardziej niż kiedykolwiek narażone na cyberataki. Wskaźniki pokazują, że małe firmy częściej są celem cyberprzestępców, a według badań Sharp już jedna trzecia (33%) europejskich firm doświadczyła ataku wirusa komputerowego.
W obliczu rosnącego zagrożenia cyberatakami Unia Europejska (UE) wprowadziła kilka dyrektyw, które nakładają na firmy obowiązek podjęcia działań służących zwiększeniu swojej odporności cybernetycznej, czyli zdolności do zapobiegania cyberincydentom, przetrwania ich i odzyskiwania danych po takich zdarzeniach. Pierwsza z nich, dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci (NIS) została przyjęta w 2016 r. i miała na celu osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych we wszystkich infrastrukturach.
W dniu 16 stycznia 2023 r. weszła w życie dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Zgodnie z wytycznymi UE termin implementacji nowych wymagań minął 17 października 2024 roku. Jednak na gruncie prawa polskiego przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która jak zapowiada Ministerstwo Cyfryzacji, wejdzie w życie w pierwszym kwartale 2025.
Celem dyrektywy NIS2 jest zwiększenie zbiorowej cyberodporności w UE poprzez wprowadzenie wymogu należytego zarządzania ryzykiem, kontroli bezpieczeństwa i regularnych audytów/testów. NIS2 ustanawia ogólnounijne, podstawowe zasady cyberbezpieczeństwa, odzwierciedlające globalne standardy i najlepsze praktyki, pozostawiając zarazem państwom członkowskim pewną elastyczność w zakresie wdrażania jej założeń na poziomie krajowym. Zapewni ona wyższy poziom gotowości i odporności na cyberincydenty, które potencjalnie mogłyby zakłócić funkcjonowanie krytycznej infrastruktury i świadczenie podstawowych usług.
NIS2 ma na celu osiągnięcie tego poprzez wprowadzenie bardziej rygorystycznych standardów i wymogów w zakresie cyberbezpieczeństwa dla organizacji, w tym wdrożenie polityk cyberbezpieczeństwa, planów reagowania na incydenty i regularnych ocen ryzyka. Nakłada również na organizacje bardziej rygorystyczne obowiązki w zakresie zarządzania ryzykiem i raportowania, wymagając od nich podejmowania należytych środków w celu zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania znaczących cyberincydentów organom krajowym.
Co więcej, dyrektywa rozszerza zakres pierwotnych regulacji, obejmując więcej sektorów i podmiotów uznanych za niezbędne lub ważne, takich jak sektor administracji publicznej, energetyka, opieka zdrowotna, usługi cyfrowe, usługi pocztowe/kurierskie, produkcja i dystrybucja żywności, infrastruktura cyfrowa i przemysł.
Ponadto NIS2 wprowadza nowe mechanizmy kontroli również w odniesieniu do małych firm. MŚP zatrudniające ponad 50 pracowników i osiągające przychody powyżej 10 mln euro podlegają na mocy NIS2 podwyższonym wymogom cyberbezpieczeństwa.
MŚP i potrzeba edukacji w zakresie NIS2
Aby dyrektywa przyniosła zamierzone skutki, przedsiębiorstwa każdej wielkości w całej Europie muszą poprawić techniczne bezpieczeństwo IT we wszystkich obszarach swojej działalności. Poprawa bezpieczeństwa wymaga natomiast objęcia wszystkich urządzeń, nie tylko głównych, ale także peryferyjnych, ogólną strategią bezpieczeństwa IT. Na szczególną uwagę zasługują urządzenia wielofunkcyjne, których bezpieczeństwo jest przez większość firm nadal zaniedbywane. Przeprowadzone przez firmę Sharp badanie wykazało, że 19% MŚP padło ofiarą incydentu naruszenia bezpieczeństwa drukarek.
Mniejsze firmy, których także dotyczy NIS2, powinny podjąć pewne kroki, aby przygotować się na nowe wymogi w zakresie cyberbezpieczeństwa. Po pierwsze powinny we współpracy ze swoim dostawcą usług wsparcia IT przeprowadzić kompleksową ocenę ryzyka w celu zidentyfikowania potencjalnych luk w cyberbezpieczeństwie, zagrożeń i obszarów wymagających poprawy w całej organizacji.
Kolejnym krokiem jest przegląd i aktualizacja umów, w tym umów o poziomie usług i innych stosownych dokumentów, aby upewnić się, że spełniają one wymogi NIS2 oraz jasno określają obowiązki i powinności w zakresie cyberbezpieczeństwa.
Po przeprowadzeniu wszystkich ocen kluczowe znaczenie ma opracowanie i wdrożenie zasad i procedur cyberbezpieczeństwa w całej firmie. Procedury te muszą być zgodne z wymogami NIS2, takimi jak praktyki w zakresie zarządzania ryzykiem, protokoły zgłaszania incydentów i środki bezpieczeństwa dla sieci i systemów informatycznych.
Wyzwaniem dla firm jest nie tylko wdrożenie takich środków, ale także ciągłe, regularne kontrole skuteczności, które mogą mieć formę skanowania luk w zabezpieczeniach, oceny bezpieczeństwa, testów penetracyjnych lub symulowanych ataków cybernetycznych.
Edukacja jako klucz do sukcesu NIS2
Cyberzagrożenia są często postrzegane jako pochodzące z zewnątrz. Tymczasem większość naruszeń bezpieczeństwa IT powodują nie awarie technologiczne, ale ludzkie błędy. Oznacza to, że nawet jeśli firma zadba o bezpieczeństwo technologii, ale pracownicy nie będą świadomi potrzeb w zakresie bezpieczeństwa, żadne zasady cyberochrony nie przyniosą oczekiwanych skutków.
Regularne szkolenia pracowników w zakresie cyberbezpieczeństwa i świadomości zagrożeń są zatem istotne dla każdej organizacji, niezależnie od jej wielkości. Dzięki takim szkoleniom pracownicy lepiej zrozumieją potrzeby w zakresie cyberbezpieczeństwa i w sposób bardziej świadomy będą przestrzegać najlepszych praktyk w zakresie ochrony poufnych informacji i systemów.
Podejmując proaktywne kroki w celu zapewnienia cyberbezpieczeństwu priorytetu w organizacji i dostosowania się do wymogów NIS2, MŚP mogą lepiej chronić się przed cyberzagrożeniami, zapewnić sobie ciągłość działalności i uniknąć potencjalnych grzywien lub kar za nieprzestrzeganie przepisów.
NIS2, a wsparcie Sharp dla firm w procesie transformacji
Piotr Filipowicz, Sharp Sales Manager IT, mówi: Dyrektywa NIS2 nakłada na przedsiębiorstwa, które odgrywają istotną rolę w infrastrukturze oraz gospodarce, szereg obowiązków związanych z podnoszeniem standardów cyberbezpieczeństwa. Wymagania te obejmują monitorowanie systemów, raportowanie incydentów oraz zarządzanie ryzykiem. W odpowiedzi na te potrzeby, firma Sharp proponuje zaawansowane usługi IT, które wspierają organizacje w dostosowywaniu się do norm NIS2. Nasze rozwiązania obejmują monitorowanie zagrożeń, zabezpieczenia danych oraz ochronę punktów końcowych, co umożliwia skuteczne wykrywanie i natychmiastowe reagowanie na ewentualne ataki. Platforma szkoleniowa Sharp Awareness Training, dotycząca cyberbezpieczeństwa, pomaga firmom w budowaniu świadomości wśród pracowników, co jest kluczowe dla zapobiegania incydentom. Dodatkowo, oferowane przez nas usługi tworzenia backupu i odzyskiwania danych gwarantują bezpieczeństwo krytycznych zasobów oraz ich szybkie przywracanie, co wspomaga firmy w utrzymaniu zgodności z wymogami dyrektywy NIS2.

Polki najbardziej przedsiębiorczymi kobietami w Unii Europejskiej. Jak w biznesie może pomóc im AI?

Trendy w branży elektrotechnicznej – jakie rozwiązania dominują na rynku?

Emitel zbudował sieć do monitorowania lotu dronów na 8 lotniskach w całej Polsce
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Polityka

PE przedstawił swoje priorytety budżetowe po 2027 roku. Wydatki na obronność kluczowe, ale nie kosztem polityki spójności
Parlament Europejski przegłosował w tym tygodniu rezolucję w sprawie priorytetów budżetu UE na lata 2028–2034. Europosłowie są zgodni co do tego, że obecny pułap wydatków w wysokości 1 proc. dochodu narodowego brutto UE-27 nie wystarczy do sprostania rosnącej liczbie wyzwań, przed którymi stoi Europa. Mowa między innymi o wojnie w Ukrainie, trudnych warunkach gospodarczych i społecznych oraz pogłębiającym się kryzysie klimatycznym. Eurodeputowani zwracają też uwagę na ogólnoświatową niestabilność, w tym wycofywanie się Stanów Zjednoczonych ze swojej globalnej roli.
Ochrona środowiska
Wokół utylizacji odpadów medycznych narosło wiele mitów. Nowoczesne instalacje pozwalają wykorzystać ten proces do produkcji ciepła i energii

Według różnych szacunków w Polsce powstaje od 60 do nawet 200 tys. t odpadów medycznych. Wymagają one specjalnego trybu postępowania, innego niż dla odpadów komunalnych – jedyną dopuszczalną i obowiązującą w świetle polskiego prawa metodą jest ich spalanie. Obecnie zakłady przetwarzania odpadów to nowoczesne instalacje połączone z odzyskiem energii. Termiczne przekształcenie odpadów może też być elementem gospodarki o obiegu zamkniętym.
Problemy społeczne
Poziom wyszczepienia Ukraińców jest o 20 pp. niższy niż Polaków. Ukraińskie mamy w Polsce wskazują na szereg barier

Różnice w kalendarzu szczepień, bariery językowe, nieznajomość polskiego systemu szczepień oraz obawy przed skutkami ubocznymi szczepionek – to jedne z najczęstszych problemów, które prowadzą do tego, że poziom wyszczepienia Ukraińców w Polsce jest niższy niż Polaków. To może mieć wpływ na bezpieczeństwo zdrowotne w całym kraju. Fundacja Instytutu Matki i Dziecka podejmuje inicjatywę mającą budować postawy proszczepienne wśród imigrantów.
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.