Dyrektywa NIS2 – edukacja firm MŚP kluczem do sukcesu

Anna Wrzesińska
Lucky Monday PR&Events
Kościuszki 65/28
30-114 Kraków
biuro|luckymonday.pl| |biuro|luckymonday.pl
+48 691769463
www.luckymonday.pl
Dyrektywa NIS2 ma zmienić sposób, w jaki organizacje w całej Europie zarządzają swoim cyberbezpieczeństwem. Artykuł przygotowany przez Sharp Europe, wyjaśnia, co dyrektywa NIS2 oznacza dla małych i średnich przedsiębiorstw oraz jak mogą one przygotować się do nadchodzących zmian.
Współczesne firmy rozwijają się dzięki łączności. Poczta elektroniczna, spotkania online, praca w otwartych sieciach Wi-Fi, udostępnianie dokumentów… nasz świat jest połączony i otwarty na biznes. Mając to na uwadze, firmy z sektora MŚP są dziś bardziej niż kiedykolwiek narażone na cyberataki. Wskaźniki pokazują, że małe firmy częściej są celem cyberprzestępców, a według badań Sharp już jedna trzecia (33%) europejskich firm doświadczyła ataku wirusa komputerowego.
W obliczu rosnącego zagrożenia cyberatakami Unia Europejska (UE) wprowadziła kilka dyrektyw, które nakładają na firmy obowiązek podjęcia działań służących zwiększeniu swojej odporności cybernetycznej, czyli zdolności do zapobiegania cyberincydentom, przetrwania ich i odzyskiwania danych po takich zdarzeniach. Pierwsza z nich, dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci (NIS) została przyjęta w 2016 r. i miała na celu osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych we wszystkich infrastrukturach.
W dniu 16 stycznia 2023 r. weszła w życie dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Zgodnie z wytycznymi UE termin implementacji nowych wymagań minął 17 października 2024 roku. Jednak na gruncie prawa polskiego przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która jak zapowiada Ministerstwo Cyfryzacji, wejdzie w życie w pierwszym kwartale 2025.
Celem dyrektywy NIS2 jest zwiększenie zbiorowej cyberodporności w UE poprzez wprowadzenie wymogu należytego zarządzania ryzykiem, kontroli bezpieczeństwa i regularnych audytów/testów. NIS2 ustanawia ogólnounijne, podstawowe zasady cyberbezpieczeństwa, odzwierciedlające globalne standardy i najlepsze praktyki, pozostawiając zarazem państwom członkowskim pewną elastyczność w zakresie wdrażania jej założeń na poziomie krajowym. Zapewni ona wyższy poziom gotowości i odporności na cyberincydenty, które potencjalnie mogłyby zakłócić funkcjonowanie krytycznej infrastruktury i świadczenie podstawowych usług.
NIS2 ma na celu osiągnięcie tego poprzez wprowadzenie bardziej rygorystycznych standardów i wymogów w zakresie cyberbezpieczeństwa dla organizacji, w tym wdrożenie polityk cyberbezpieczeństwa, planów reagowania na incydenty i regularnych ocen ryzyka. Nakłada również na organizacje bardziej rygorystyczne obowiązki w zakresie zarządzania ryzykiem i raportowania, wymagając od nich podejmowania należytych środków w celu zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania znaczących cyberincydentów organom krajowym.
Co więcej, dyrektywa rozszerza zakres pierwotnych regulacji, obejmując więcej sektorów i podmiotów uznanych za niezbędne lub ważne, takich jak sektor administracji publicznej, energetyka, opieka zdrowotna, usługi cyfrowe, usługi pocztowe/kurierskie, produkcja i dystrybucja żywności, infrastruktura cyfrowa i przemysł.
Ponadto NIS2 wprowadza nowe mechanizmy kontroli również w odniesieniu do małych firm. MŚP zatrudniające ponad 50 pracowników i osiągające przychody powyżej 10 mln euro podlegają na mocy NIS2 podwyższonym wymogom cyberbezpieczeństwa.
MŚP i potrzeba edukacji w zakresie NIS2
Aby dyrektywa przyniosła zamierzone skutki, przedsiębiorstwa każdej wielkości w całej Europie muszą poprawić techniczne bezpieczeństwo IT we wszystkich obszarach swojej działalności. Poprawa bezpieczeństwa wymaga natomiast objęcia wszystkich urządzeń, nie tylko głównych, ale także peryferyjnych, ogólną strategią bezpieczeństwa IT. Na szczególną uwagę zasługują urządzenia wielofunkcyjne, których bezpieczeństwo jest przez większość firm nadal zaniedbywane. Przeprowadzone przez firmę Sharp badanie wykazało, że 19% MŚP padło ofiarą incydentu naruszenia bezpieczeństwa drukarek.
Mniejsze firmy, których także dotyczy NIS2, powinny podjąć pewne kroki, aby przygotować się na nowe wymogi w zakresie cyberbezpieczeństwa. Po pierwsze powinny we współpracy ze swoim dostawcą usług wsparcia IT przeprowadzić kompleksową ocenę ryzyka w celu zidentyfikowania potencjalnych luk w cyberbezpieczeństwie, zagrożeń i obszarów wymagających poprawy w całej organizacji.
Kolejnym krokiem jest przegląd i aktualizacja umów, w tym umów o poziomie usług i innych stosownych dokumentów, aby upewnić się, że spełniają one wymogi NIS2 oraz jasno określają obowiązki i powinności w zakresie cyberbezpieczeństwa.
Po przeprowadzeniu wszystkich ocen kluczowe znaczenie ma opracowanie i wdrożenie zasad i procedur cyberbezpieczeństwa w całej firmie. Procedury te muszą być zgodne z wymogami NIS2, takimi jak praktyki w zakresie zarządzania ryzykiem, protokoły zgłaszania incydentów i środki bezpieczeństwa dla sieci i systemów informatycznych.
Wyzwaniem dla firm jest nie tylko wdrożenie takich środków, ale także ciągłe, regularne kontrole skuteczności, które mogą mieć formę skanowania luk w zabezpieczeniach, oceny bezpieczeństwa, testów penetracyjnych lub symulowanych ataków cybernetycznych.
Edukacja jako klucz do sukcesu NIS2
Cyberzagrożenia są często postrzegane jako pochodzące z zewnątrz. Tymczasem większość naruszeń bezpieczeństwa IT powodują nie awarie technologiczne, ale ludzkie błędy. Oznacza to, że nawet jeśli firma zadba o bezpieczeństwo technologii, ale pracownicy nie będą świadomi potrzeb w zakresie bezpieczeństwa, żadne zasady cyberochrony nie przyniosą oczekiwanych skutków.
Regularne szkolenia pracowników w zakresie cyberbezpieczeństwa i świadomości zagrożeń są zatem istotne dla każdej organizacji, niezależnie od jej wielkości. Dzięki takim szkoleniom pracownicy lepiej zrozumieją potrzeby w zakresie cyberbezpieczeństwa i w sposób bardziej świadomy będą przestrzegać najlepszych praktyk w zakresie ochrony poufnych informacji i systemów.
Podejmując proaktywne kroki w celu zapewnienia cyberbezpieczeństwu priorytetu w organizacji i dostosowania się do wymogów NIS2, MŚP mogą lepiej chronić się przed cyberzagrożeniami, zapewnić sobie ciągłość działalności i uniknąć potencjalnych grzywien lub kar za nieprzestrzeganie przepisów.
NIS2, a wsparcie Sharp dla firm w procesie transformacji
Piotr Filipowicz, Sharp Sales Manager IT, mówi: Dyrektywa NIS2 nakłada na przedsiębiorstwa, które odgrywają istotną rolę w infrastrukturze oraz gospodarce, szereg obowiązków związanych z podnoszeniem standardów cyberbezpieczeństwa. Wymagania te obejmują monitorowanie systemów, raportowanie incydentów oraz zarządzanie ryzykiem. W odpowiedzi na te potrzeby, firma Sharp proponuje zaawansowane usługi IT, które wspierają organizacje w dostosowywaniu się do norm NIS2. Nasze rozwiązania obejmują monitorowanie zagrożeń, zabezpieczenia danych oraz ochronę punktów końcowych, co umożliwia skuteczne wykrywanie i natychmiastowe reagowanie na ewentualne ataki. Platforma szkoleniowa Sharp Awareness Training, dotycząca cyberbezpieczeństwa, pomaga firmom w budowaniu świadomości wśród pracowników, co jest kluczowe dla zapobiegania incydentom. Dodatkowo, oferowane przez nas usługi tworzenia backupu i odzyskiwania danych gwarantują bezpieczeństwo krytycznych zasobów oraz ich szybkie przywracanie, co wspomaga firmy w utrzymaniu zgodności z wymogami dyrektywy NIS2.

Nowy system wykrywania i sygnalizacji pożaru w Data Centre w Warszawie

Chatbot AI w kuchni – rewolucyjne narzędzie od Maspex na Uwielbiam.pl

5 najczęstszych mitów o pracy w IT. Sprawdź, jak jest naprawdę!
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Konsument

Rola telekomów w upowszechnianiu sztucznej inteligencji rośnie. T-Mobile udostępnia klientom zaawansowaną wyszukiwarkę Perplexity Pro
Firmy telekomunikacyjne odgrywają coraz ważniejszą rolę w udostępnianiu szerokiemu odbiorcy sztucznej inteligencji. T-Mobile udostępni swoim klientom w ramach programu Magenta Moments, całkowicie za darmo, zaawansowaną wyszukiwarkę Perplexity Pro, wykorzystującą płatne modele językowe. Ma to być odpowiedź na potrzeby, które stają się widoczne już dziś, a w niedalekiej przyszłości staną u podstaw wszelkich działań związanych z wyszukiwaniem informacji w sieci.
Farmacja
Nowoczesne formy podania leków pozwalają uniknąć hospitalizacji. To duże ułatwienie dla pacjentów z chorobami przewlekłymi

Opracowywanie nowoczesnych form podania leków to odpowiedź na stale rosnącą liczbę pacjentów z chorobami przewlekłymi, m.in. onkologicznymi, hematologicznymi i psychiatrycznymi. Jeden zastrzyk zamiast codziennego łykania tabletek, wlewów czy klasycznych chemioterapii ułatwia życie pacjentom, pozwalając im uniknąć hospitalizacji, stresu i ryzyka z tym związanego oraz szybciej wrócić do codziennych zajęć. To także korzyść dla personelu medycznego i systemu ochrony zdrowia. Inicjatorzy kampanii „Podanie ma znaczenie” podkreślają, że pacjent powinien mieć wpływ na wybór formy przyjmowanego leku.
Transport
Rząd pracuje nad nowymi warunkami testowania pojazdów autonomicznych. Do dopuszczenia ich do ruchu jeszcze daleka droga

Trwają prace nad przepisami, które ułatwią testowanie w Polsce pojazdów pół- i autonomicznych. Zmienią się m.in. definicje zawarte w ustawie z 2018 roku, by możliwe było wykorzystanie do testów pojazdów o pełnej autonomii. Do wprowadzenia takich aut na drogi jeszcze daleka droga, choć eksperci widzą w nich remedium na wiele bolączek, m.in. na niedobór zawodowych kierowców czy wykluczenie transportowe konkretnych grup społecznych i obszarów. Wiele wątpliwości wciąż budzą kwestie bezpieczeństwa i przygotowania kierowców.
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.