Czekając na wodór
15 lipca 2024
Polska liderem offshore wind?
29 sierpnia 2024
Wprowadzenie dyrektywy NIS2 stanowi kamień milowy w europejskim podejściu do cyberbezpieczeństwa. Choć ten akt prawny ma zwiększyć odporność na ataki hakerskie, to wiele przedsiębiorstw, także z sektora morskiego, wciąż boryka się z wyzwaniami implementacyjnymi. Obowiązki wypływające z konieczności dostosowania się do dyrektywy wymagają identyfikacji kluczowych ryzyk i wprowadzenia procedur bezpieczeństwa, co z kolei ułatwi firmom pozyskania polis ubezpieczeniowych od zagrożeń cybernetycznych.
Do 17 października 2024 r. polskie firmy z sektorów uznanych za kluczowe oraz ważne mają obowiązek wdrożenia zaleceń unijnej dyrektywy cyberbezpieczeństwa NIS2. Regulacje te dotyczą również wszystkich podmiotów, które współpracują z nimi w łańcuchu dostaw. Dokument, który wszedł w życie 16 stycznia 2023 r., jest podstawą funkcjonowania systemów cyberbezpieczeństwa w przestrzeni unijnej, także w odniesieniu do portów morskich, żeglugi, sektora TSL, offshore wind i przemysłu okrętowego.
Wśród sektorów uznane za kluczowe, które muszą być najbardziej chronione, znalazły się m.in. transport (wodny, lądowy i powietrzny), energetyka (w tym OZE) czy administracja publiczna (także administracja morska). Z kolei w sektorze podmiotów ważny znalazł się przemysł obejmujący również stocznie. To, co jest istotnym novum w regulacjach NIS2 to, konieczność samozdefiniowania się firm w zakresie podlegania unijnym przepisom, bądź też nie. To podmiot sam musi określić czy jego zakres działalności kwalifikuje go do wdrożenia dyrektywy, choć przedstawiony zakres branż, które przepisy te obejmą wydaje się dosyć czytelny. Do tej pory bowiem, według zasad NIS1, to ministerstwo właściwe dla danego sektora gospodarki, decyzją administracyjną, wyznaczało tzw. operatorów usług kluczowych, którzy podlegali regulacjom. W branży morskiej i transportowej było to ok. 30 podmiotów. Teraz liczba ta powinna znacząco wzrosnąć.
Ponadto zgodnie z założeniami NIS2 dla bezpieczeństwa firm z sektorów uznanych za kluczowe i ważne ogromne znaczenie ma kontrola łańcucha dostaw i „uwzględnienie ryzyka wynikającego z relacji podmiotu z podmiotami trzecimi, takimi jak dostawcy usług przechowywania i przetwarzania danych, dostawcy usług bezpieczeństwa i dostawcy oprogramowania”. W regulacjach tych Unia Europejska kładzie nacisk na „bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji pomiędzy każdym podmiotem a jego bezpośrednimi dostawcami produktów lub usług”.
NIS2 nakłady na wszystkie firmy z sektorów kluczowych i ważnych obowiązek m.in.
zapewnienie analizy ryzyka i polityki bezpieczeństwa systemów informatycznych, zapewnienie bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych, zapewnienie procedur służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa, obsługi incydentów oraz zapewnienie ciągłości działania i zarządzania kryzysowego. NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia również Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie Unii Europejskiej.
Szczególnie newralgiczna będzie obsługa incydentów, a co za tym idzie posiadanie własnego działu Security Operation Center (SOC). Firmy będą musiały przekazać bowiem raport „o wczesnym ostrzeżeniu” w ciągu 24 godz. od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godz. Mają też miesiąc na przedstawienie ostatecznego raportu. Niedopełnienie tego obowiązku może skutkować karami finansowymi, a są one bardzo dotkliwe – mogą wynieść do 10 mln euro lub 2% całkowitego rocznego obrotu danego przedsiębiorstwa. Dochodzi do tego również bezpośrednia odpowiedzialność zarządu za uchybienia we wdrożeniu unijnych regulacji jak np. czasowy zakaz pełnienia funkcji kierowniczych, w tym w zarządach i radach nadzorczych. Szczególnie że NIS2 zakłada możliwość kontroli, audytów i skanów bezpieczeństwa, przez odpowiednie organy nadzorcze, oraz wystąpienie z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przed dany podmiot.
W efekcie optymalnym rozwiązaniem wydaje się zlecenie obsługi SOC oraz całego bezpieczeństwa cybernetycznego wyspecjalizowanym w tym zakresie firmom. Zaś specjaliści z zakresu cyberbezpieczeństwa podkreślają, że warto również zwrócić uwagę na wprowadzenie funkcjonalności XDR (rozszerzone wykrywanie i reagowanie), która staje się jednym z podstawowych wymagań w NIS 2. Umożliwia ona szybsze wykrywanie zagrożeń oraz efektywniejszą pracę i reagowanie.
Artykuł opracowany we współpracy z magazynem Namiary na Morze i Handel
fot. Namiary na Morze i Handel
