Unia Europejska zauważyła rosnące uzależnienie od technologii cyfrowych, zwłaszcza w branżach o krytycznym znaczeniu dla gospodarki. Chodzi o energetykę, ochronę zdrowia czy finanse. Ale też o transport. Tak duża zależność od technologii naraża kluczowe przedsiębiorstwa na cyberataki. Dlatego Rada Unii Europejskiej przyjęła dyrektywę NIS-2. Ma ona zwiększyć odporność firm na cyberzagrożenia. Dokument zastępuje dyrektywę NIS z 2016 roku. Oznacza to, że nakłada na państwa członkowskie obowiązek włączenia nowych przepisów do prawa krajowego. Zostało niewiele czasu, bo już tylko do 17 października 2024 roku.
27 marca 2023 r. International Data Corporation (IDC) wskazała, że „ciągłe zakłócenia i dynamiczny krajobraz zagrożeń skłoniły organizacje europejskie do ponownego przemyślenia swojej odporności cybernetycznej i proaktywnego zapewnienia, że ich organizacja utrzymuje dobrą higienę cybernetyczną.”
Ta i wiele innych obserwacji przyczyniły się do aktualizacji prawodawstwa europejskiego w kontekście gospodarczego cyberbezpieczeństwa. Ale co to ma wspólnego z TSL?
Co to jest NIS 2?
Regulacja NIS 2 to unijne prawo dotyczące zarządzania ryzykiem cybernetycznym. Regulacja ta obejmuje szereg zasad i wymagań dotyczących bezpieczeństwa cybernetycznego, w tym obowiązek zgłaszania incydentów, określone wymogi dotyczące ochrony infrastruktury krytycznej, współpracę między państwami członkowskimi w zakresie zwalczania cyberzagrożeń, a także odpowiednie środki wdrożeniowe i sankcje w przypadku naruszenia przepisów.
Po co wdrażać ten standard?
Poprzez jednolite standardy i procedury bezpieczeństwa rozporządzenie NIS 2 ma na celu wzmocnienie odporności sektora usług kluczowych na cyberataki, ochronę danych konsumentów, stabilność systemu finansowego i innych usług kluczowych dla gospodarki i społeczeństwa UE.
Rozszerzenie obowiązywania dla podmiotów MŚP
W porównaniu z NIS, zakres obowiązywania drugiej wersji dyrektywy został istotnie poszerzony o dodatkowe sektory gospodarki. Nowe prawo wprowadza również kryterium wielkości podmiotu. Dzięki niemu, możemy wyraźnie określić, które podmioty podlegają regulacji, a które nie.
NIS 2 dotyczy wszystkich podmiotów działających w sektorach gospodarki, które są uznawane za średnie lub duże przedsiębiorstwa.
Kto musi wdrożyć NIS 2?
Regulacja NIS 2 obejmuje szeroki zakres podmiotów, które są kluczowe dla stabilności społecznej i gospodarczej Unii Europejskiej.
Należą do nich m.in.:
Kluczowi operatorzy usług (OUK)
Organizacje oferujące usługi niezbędne do utrzymania ważnej działalności społecznej i gospodarczej.
Dostawcy usług cyfrowych (DUC)
Firmy działające legalnie i oferujące różne usługi cyfrowe, w tym wyszukiwarki, usługi przetwarzania w chmurze i platformy handlowe.
Podmioty kluczowe i ważne
NIS 2 ustanawia wymóg wielkości, który ustanawia nowe kategorie podmiotów – kluczowe lub istotne dla stabilności społecznej i gospodarczej Unii Europejskiej.
Podmioty kluczowe to te, które oferują usługi niezbędne dla funkcjonowania gospodarki i społeczeństwa. W rezultacie organizacje te odgrywają kluczową rolę w podstawowej infrastrukturze Unii Europejskiej, a ich działalność bezpośrednio wpływa na bezpieczeństwo i stabilność społeczeństwa. Kluczowe firmy mają obowiązek przestrzegać najsurowszych wytycznych dotyczących bezpieczeństwa sieci i systemów informatycznych.
Na jakie kluczowe sektory wskazuje dyrektywa?
Europejska NIS 2 wskazuje 10 sektorów, w których działają podmioty kluczowe.
Są nimi:
- transport,
- energetyka,
- bankowość i infrastruktura rynków finansowych,
- ochrona zdrowia,
- woda pitna,
- ścieki,
- infrastruktura cyfrowa,
- zarządzanie usługami ICT,
- podmioty administracji publicznej oraz
- przestrzeń kosmiczna.
Na mocy tej dyrektywy utworzono nową kategorię, zwaną podmiotami ważnymi, obejmującą organizacje, których działalność znacząco wpływa na funkcjonowanie społeczeństwa i gospodarki Unii, ale nie spełnia sztywnych wymagań operatorów usług kluczowych. Mimo to organizacje te w dużym stopniu polegają na bezpieczeństwie systemów i sieci informatycznych.
Kto jest kluczowym podmiotem pod kątem cyberbezpieczeństwa dla Unii?
Podmiotami kluczowymi według NIS 2 są średnie przedsiębiorstwa działające w wskazanych sektorach kluczowych oraz średnie lub duże przedsiębiorstwa w sektorach uznanych za istotne zgodnie z NIS 2, obejmujące:
- Usługi pocztowe i kurierskie,
- Gospodarkę odpadami,
- Produkcję, przetwarzanie i dystrybucję chemikaliów,
- Produkcję, przetwarzanie i dystrybucję żywności,
- Działalność produkcyjną w ogólności,
- Dostawców usług cyfrowych,
- Instytuty badawcze.
NIS 2 w sektorze TSL, dlaczego tak ważna?
Ataki cybernetyczne na sektor transportowy mają potencjał zakłócenia lub nawet całkowitego wyłączenia systemów oraz usług, obejmując też systemy rezerwacji w transporcie kolejowym i lotniczym. Mogą także ujawnić lub zablokować dostęp do danych wrażliwych, zagrażać bezpieczeństwu personelu i pasażerów, oraz negatywnie wpłynąć na łańcuchy dostaw we wszystkich branżach.
Sektor motoryzacyjny też jest ważny, bo zewnętrzni dostawcy łańcucha dostaw odgrywają tam kluczową rolę. Rośnie popularność pojazdów pasażerskich z wbudowaną łącznością. Powoduje to ciągły postęp w technologii samochodowej. Taka sytuacja stwarza ogromne możliwości. Nie tylko dla kierowców. Także dla ataków. Te mogą dotknąć miliony szybko poruszających się pojazdów.
Jakie są wyzwania w związku z NIS 2?
Z badania „Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce. Cyberbezpieczeństwo w sektorze transportu w Polsce – czy jesteśmy gotowi na nową dyrektywę NIS 2?” przeprowadzonego przez EY, Ministerstwo Infrastruktury oraz NASK BIP wynika, że 70% przebadanych operatorów usług kluczowych ma świadomość zmian wprowadzanych przez dyrektywę NIS 2.
Najważniejszymi wyzwaniami zidentyfikowanymi przez nich są:
- zapewnienie niezawodności i bezpieczeństwa cyfrowego sieci i systemów informatycznych, przygotowanie na wystąpienie poważnych incydentów bezpieczeństwa sieci o szerokim zasięgu,
- działanie wewnętrznego SOC przez całą dobę, przez cały tydzień, przez cały rok,
- ograniczone środki na modernizację i rozbudowę usług,
- problemy z zapewnieniem bezpieczeństwa komunikacji sieciowej z powodu rozproszenia organizacji, słaba infrastruktura teleinformatyczna w niektórych regionach
- brak inwestycji operatorów telekomunikacyjnych w łącza światłowodowe poza obszarami miejskimi, skuteczna analiza ryzyka
- odpowiednie zabezpieczenia budżetowe i personalne.
Dlaczego ochrona TSL jest ważna?
Ochrona TSL jest szczególnie ważna ze względu na swoją wrażliwość, ochronę danych oraz zachowanie stabilności dla gospodarki.
Znaczenie dla stabilności gospodarczej
Sektor TSL jest kluczowy dla funkcjonowania gospodarki, ponieważ odpowiada za przemieszczanie towarów i ludzi, co ma wpływ na zrównoważony rozwój oraz efektywność gospodarczą.
Wrażliwość na cyberzagrożenia
Sektor TSL jest szczególnie podatny na cyberzagrożenia ze względu na intensywną wymianę danych i zależność od systemów informatycznych do zarządzania operacjami, monitorowania floty pojazdów, śledzenia ładunków itp.
Ochrona danych klientów
Sektor TSL gromadzi dużą ilość danych osobowych i komercyjnych, takich jak dane logistyczne, informacje o trasach i terminach dostaw, dane klientów oraz pracowników.
Co powinniśmy zrobić w transporcie w związku z NIS 2?
Z wyżej wymienionych powodów, sektor TSL musi wdrożyć niezbędne środki zapobiegawcze, przeprowadzić audyty bezpieczeństwa IT i ustalić protokoły obsługi zdarzeń cybernetycznych, aby zachować zgodność z
NIS 2. Dzięki temu branża będzie w stanie lepiej wytrzymać potencjał zagrożeń cyberbezpieczeństwa, zwiększając jego stabilność i skuteczność.
Chcesz dowiedzieć się więcej?
Zapraszamy do uczestniczenia w spotkaniu online poświęconym nowej Dyrektywie NIS 2 oraz optymalnym rozwiązaniom pozwalającym na odpowiednie przygotowanie się do nowych wymagań.
Link do wydarzenia: Cyberbezpieczeństwo a Dyrektywa NIS2. Praktyczne Rozważania
Autorem tekstu jest nasz ekspert, Damian Swoboda.