Dyrektywa NIS2 – edukacja firm MŚP kluczem do sukcesu

Anna Wrzesińska
Lucky Monday PR&Events
Kościuszki 65/28
30-114 Kraków
biuro|luckymonday.pl| |biuro|luckymonday.pl
+48 691769463
www.luckymonday.pl
Dyrektywa NIS2 ma zmienić sposób, w jaki organizacje w całej Europie zarządzają swoim cyberbezpieczeństwem. Artykuł przygotowany przez Sharp Europe, wyjaśnia, co dyrektywa NIS2 oznacza dla małych i średnich przedsiębiorstw oraz jak mogą one przygotować się do nadchodzących zmian.
Współczesne firmy rozwijają się dzięki łączności. Poczta elektroniczna, spotkania online, praca w otwartych sieciach Wi-Fi, udostępnianie dokumentów… nasz świat jest połączony i otwarty na biznes. Mając to na uwadze, firmy z sektora MŚP są dziś bardziej niż kiedykolwiek narażone na cyberataki. Wskaźniki pokazują, że małe firmy częściej są celem cyberprzestępców, a według badań Sharp już jedna trzecia (33%) europejskich firm doświadczyła ataku wirusa komputerowego.
W obliczu rosnącego zagrożenia cyberatakami Unia Europejska (UE) wprowadziła kilka dyrektyw, które nakładają na firmy obowiązek podjęcia działań służących zwiększeniu swojej odporności cybernetycznej, czyli zdolności do zapobiegania cyberincydentom, przetrwania ich i odzyskiwania danych po takich zdarzeniach. Pierwsza z nich, dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci (NIS) została przyjęta w 2016 r. i miała na celu osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych we wszystkich infrastrukturach.
W dniu 16 stycznia 2023 r. weszła w życie dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Zgodnie z wytycznymi UE termin implementacji nowych wymagań minął 17 października 2024 roku. Jednak na gruncie prawa polskiego przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która jak zapowiada Ministerstwo Cyfryzacji, wejdzie w życie w pierwszym kwartale 2025.
Celem dyrektywy NIS2 jest zwiększenie zbiorowej cyberodporności w UE poprzez wprowadzenie wymogu należytego zarządzania ryzykiem, kontroli bezpieczeństwa i regularnych audytów/testów. NIS2 ustanawia ogólnounijne, podstawowe zasady cyberbezpieczeństwa, odzwierciedlające globalne standardy i najlepsze praktyki, pozostawiając zarazem państwom członkowskim pewną elastyczność w zakresie wdrażania jej założeń na poziomie krajowym. Zapewni ona wyższy poziom gotowości i odporności na cyberincydenty, które potencjalnie mogłyby zakłócić funkcjonowanie krytycznej infrastruktury i świadczenie podstawowych usług.
NIS2 ma na celu osiągnięcie tego poprzez wprowadzenie bardziej rygorystycznych standardów i wymogów w zakresie cyberbezpieczeństwa dla organizacji, w tym wdrożenie polityk cyberbezpieczeństwa, planów reagowania na incydenty i regularnych ocen ryzyka. Nakłada również na organizacje bardziej rygorystyczne obowiązki w zakresie zarządzania ryzykiem i raportowania, wymagając od nich podejmowania należytych środków w celu zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania znaczących cyberincydentów organom krajowym.
Co więcej, dyrektywa rozszerza zakres pierwotnych regulacji, obejmując więcej sektorów i podmiotów uznanych za niezbędne lub ważne, takich jak sektor administracji publicznej, energetyka, opieka zdrowotna, usługi cyfrowe, usługi pocztowe/kurierskie, produkcja i dystrybucja żywności, infrastruktura cyfrowa i przemysł.
Ponadto NIS2 wprowadza nowe mechanizmy kontroli również w odniesieniu do małych firm. MŚP zatrudniające ponad 50 pracowników i osiągające przychody powyżej 10 mln euro podlegają na mocy NIS2 podwyższonym wymogom cyberbezpieczeństwa.
MŚP i potrzeba edukacji w zakresie NIS2
Aby dyrektywa przyniosła zamierzone skutki, przedsiębiorstwa każdej wielkości w całej Europie muszą poprawić techniczne bezpieczeństwo IT we wszystkich obszarach swojej działalności. Poprawa bezpieczeństwa wymaga natomiast objęcia wszystkich urządzeń, nie tylko głównych, ale także peryferyjnych, ogólną strategią bezpieczeństwa IT. Na szczególną uwagę zasługują urządzenia wielofunkcyjne, których bezpieczeństwo jest przez większość firm nadal zaniedbywane. Przeprowadzone przez firmę Sharp badanie wykazało, że 19% MŚP padło ofiarą incydentu naruszenia bezpieczeństwa drukarek.
Mniejsze firmy, których także dotyczy NIS2, powinny podjąć pewne kroki, aby przygotować się na nowe wymogi w zakresie cyberbezpieczeństwa. Po pierwsze powinny we współpracy ze swoim dostawcą usług wsparcia IT przeprowadzić kompleksową ocenę ryzyka w celu zidentyfikowania potencjalnych luk w cyberbezpieczeństwie, zagrożeń i obszarów wymagających poprawy w całej organizacji.
Kolejnym krokiem jest przegląd i aktualizacja umów, w tym umów o poziomie usług i innych stosownych dokumentów, aby upewnić się, że spełniają one wymogi NIS2 oraz jasno określają obowiązki i powinności w zakresie cyberbezpieczeństwa.
Po przeprowadzeniu wszystkich ocen kluczowe znaczenie ma opracowanie i wdrożenie zasad i procedur cyberbezpieczeństwa w całej firmie. Procedury te muszą być zgodne z wymogami NIS2, takimi jak praktyki w zakresie zarządzania ryzykiem, protokoły zgłaszania incydentów i środki bezpieczeństwa dla sieci i systemów informatycznych.
Wyzwaniem dla firm jest nie tylko wdrożenie takich środków, ale także ciągłe, regularne kontrole skuteczności, które mogą mieć formę skanowania luk w zabezpieczeniach, oceny bezpieczeństwa, testów penetracyjnych lub symulowanych ataków cybernetycznych.
Edukacja jako klucz do sukcesu NIS2
Cyberzagrożenia są często postrzegane jako pochodzące z zewnątrz. Tymczasem większość naruszeń bezpieczeństwa IT powodują nie awarie technologiczne, ale ludzkie błędy. Oznacza to, że nawet jeśli firma zadba o bezpieczeństwo technologii, ale pracownicy nie będą świadomi potrzeb w zakresie bezpieczeństwa, żadne zasady cyberochrony nie przyniosą oczekiwanych skutków.
Regularne szkolenia pracowników w zakresie cyberbezpieczeństwa i świadomości zagrożeń są zatem istotne dla każdej organizacji, niezależnie od jej wielkości. Dzięki takim szkoleniom pracownicy lepiej zrozumieją potrzeby w zakresie cyberbezpieczeństwa i w sposób bardziej świadomy będą przestrzegać najlepszych praktyk w zakresie ochrony poufnych informacji i systemów.
Podejmując proaktywne kroki w celu zapewnienia cyberbezpieczeństwu priorytetu w organizacji i dostosowania się do wymogów NIS2, MŚP mogą lepiej chronić się przed cyberzagrożeniami, zapewnić sobie ciągłość działalności i uniknąć potencjalnych grzywien lub kar za nieprzestrzeganie przepisów.
NIS2, a wsparcie Sharp dla firm w procesie transformacji
Piotr Filipowicz, Sharp Sales Manager IT, mówi: Dyrektywa NIS2 nakłada na przedsiębiorstwa, które odgrywają istotną rolę w infrastrukturze oraz gospodarce, szereg obowiązków związanych z podnoszeniem standardów cyberbezpieczeństwa. Wymagania te obejmują monitorowanie systemów, raportowanie incydentów oraz zarządzanie ryzykiem. W odpowiedzi na te potrzeby, firma Sharp proponuje zaawansowane usługi IT, które wspierają organizacje w dostosowywaniu się do norm NIS2. Nasze rozwiązania obejmują monitorowanie zagrożeń, zabezpieczenia danych oraz ochronę punktów końcowych, co umożliwia skuteczne wykrywanie i natychmiastowe reagowanie na ewentualne ataki. Platforma szkoleniowa Sharp Awareness Training, dotycząca cyberbezpieczeństwa, pomaga firmom w budowaniu świadomości wśród pracowników, co jest kluczowe dla zapobiegania incydentom. Dodatkowo, oferowane przez nas usługi tworzenia backupu i odzyskiwania danych gwarantują bezpieczeństwo krytycznych zasobów oraz ich szybkie przywracanie, co wspomaga firmy w utrzymaniu zgodności z wymogami dyrektywy NIS2.

Praca w IT bez doświadczenia. Liderzy EY GDS o tym, jak odnaleźć swoją ścieżkę do sukcesu na rynku IT

Wyzwania związane z cyfryzacją firm - jak je pokonać?

Nowy system wykrywania i sygnalizacji pożaru w Data Centre w Warszawie
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Handel

Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji
Firmy coraz chętniej inwestują w cyfryzację i automatyzację procesów, w tym z wykorzystaniem sztucznej inteligencji (AI), co pozwala im oszczędzać czas, redukować koszty operacyjne i poprawiać jakość obsługi klienta. Nowoczesne narzędzia takie jak platforma FlowDog pozwalają relatywnie szybko i efektywnie kosztowo usprawniać procesy obsługi reklamacji, zleceń serwisowych czy analizę danych sprzedażowych. Eksperci podkreślają, że dobrze wdrożona automatyzacja może przynieść zwrot z inwestycji już w ciągu kilku miesięcy, zwiększając konkurencyjność firm na dynamicznie zmieniającym się rynku
Handel
Odwetowe cła z UE na amerykańskie towary mogą być kolejnym etapem wojny handlowej. Następne decyzje spowodują dalszy wzrost cen

Komisja Europejska zapowiedziała nałożenie ceł na amerykańskie produkty w reakcji na wejście w życie ceł USA na stal i aluminium. Unijne cła o wartości 26 mld zł wejdą w życie 1 kwietnia, a w pełni zostaną wdrożone od 13 kwietnia. Donald Trump już zapowiada, że na to odpowie. – Wchodzimy w etap wojny handlowej między Unią Europejską a Stanami Zjednoczonymi i na pewno będziemy świadkami wielu takich odwetów z każdej strony – ocenia europosłanka Anna Bryłka.
Robotyka i SI
Inwestycje w sztuczną inteligencję na bardzo niskim poziomie. Potencjał polskich kadr nie jest wykorzystywany

Komisja Europejska zapowiedziała uruchomienie nowej inicjatywy InvestAI, która ma zmobilizować 200 mld euro na inwestycje w sztuczną inteligencję. W globalnym wyścigu zbrojeń w AI to jednak wciąż niewiele. Również polskie firmy technologiczne zazwyczaj korzystają z infrastruktury stworzonej przez zachodnich liderów. Największym wyzwaniem, które stoi przed polskimi firmami, jest to, by innowacje były tworzone na miejscu. – Zwłaszcza że inwestycja w sztuczną inteligencję i kryptografię kwantową to inwestycja w bezpieczeństwo kraju – przekonuje dr Maciej Kawecki, prezes Instytutu Lema.
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.