Europa przez dekady budowała swoje bezpieczeństwo w oparciu o klasyczne wektory zagrożeń: integralność granic, potencjał militarny, stabilność infrastruktury krytycznej oraz bezpieczeństwo energetyczne. Ostatnie lata wyraźnie pokazują jednak, że współczesne konflikty — niezależnie od ich charakteru — w istotnej części przeniosły się do cyberprzestrzeni, gdzie celem stają się nie tylko systemy państwowe, ale również dane, ciągłość działania organizacji oraz zaufanie do usług cyfrowych. W tym kontekście dyrektywa NIS2 przestaje być wyłącznie ramą regulacyjną, a staje się narzędziem systemowego wzmacniania odporności podmiotów kluczowych i ważnych.
Atak na system logistyczny, sparaliżowanie operatora energetycznego, przejęcie danych dostawcy dla sektora zbrojeniowego, zatrzymanie produkcji w zakładzie przemysłowym czy czasowe wyłączenie infrastruktury telekomunikacyjnej mogą dziś wywołać skutki porównywalne z klasycznym sabotażem infrastruktury fizycznej.
Z perspektywy państwa odporność cyfrowa przestała być więc zagadnieniem stricte technologicznym. Stała się elementem bezpieczeństwa narodowego.
Właśnie w tym kontekście należy patrzeć na dyrektywę NIS2.
W debacie publicznej regulacja ta bywa nadal sprowadzana do „kolejnej unijnej dyrektywy IT”. To poważne uproszczenie. W rzeczywistości NIS2 jest próbą zbudowania europejskiego systemu odporności gospodarczej i operacyjnej wobec zagrożeń cybernetycznych, które coraz częściej mają charakter systemowy, państwowy albo quasi-państwowy.
Nieprzypadkowo regulacja pojawia się równolegle z europejską debatą dotyczącą resilience, strategic autonomy, dual use technologies czy odporności infrastruktury krytycznej.
Z punktu widzenia sektora defence, przemysłu strategicznego, logistyki, energetyki czy zaawansowanej produkcji przemysłowej znaczenie NIS2 wykracza daleko poza compliance. To regulacja o charakterze operacyjnym i strategicznym.
Dyrektywa znacząco rozszerza katalog podmiotów objętych obowiązkami. Nie chodzi już wyłącznie o klasycznych operatorów infrastruktury krytycznej. W praktyce objęte regulacją będą również firmy funkcjonujące w szerokim ekosystemie bezpieczeństwa państwa i gospodarki - producenci przemysłowi, podmioty technologiczne, operatorzy logistyczni, dostawcy usług cyfrowych, część sektora chemicznego, spożywczego czy podwykonawcy funkcjonujący w łańcuchach dostaw dużych grup przemysłowych oraz podmiotów realizujących kontrakty publiczne i obronne.
I właśnie łańcuch dostaw jest dziś jednym z kluczowych obszarów ryzyka.
Pobierz e-booka:
NIS 2 a rola CSIRT w zarządzaniu incydentami cyberbezpieczeństwa
Nowoczesne operacje cybernetyczne coraz rzadziej polegają na frontalnym ataku na najlepiej zabezpieczony podmiot. Znacznie częściej wykorzystują słabsze ogniwo - mniejszego dostawcę, podwykonawcę, firmę serwisową albo partnera technologicznego. W praktyce oznacza to, że nawet średnia firma przemysłowa, która formalnie nie uważa się za element infrastruktury krytycznej, może stać się punktem wejścia do systemów podmiotu strategicznego.
W sektorze defence to problem fundamentalny. Dzisiejszy przemysł obronny funkcjonuje w oparciu o wielowarstwowe i silnie rozproszone sieci kooperantów. Ryzyko cybernetyczne nie kończy się więc na głównym wykonawcy kontraktu. Ono rozlewa się na cały ekosystem dostawców, integratorów, producentów komponentów, firm software’owych, operatorów infrastruktury i podmiotów logistycznych.
Dlatego właśnie NIS2 bardzo mocno akcentuje bezpieczeństwo supply chain. To jeden z najbardziej niedocenianych aspektów tej regulacji.
Obejrzyj webinar:
W praktyce już dziś obserwujemy, że duże grupy przemysłowe oraz podmioty z obszaru infrastruktury krytycznej zaczynają przenosić wymagania bezpieczeństwa na swoich dostawców. W ciągu najbliższych lat stanie się to standardem rynkowym. W wielu przypadkach brak odpowiednich procedur cyberbezpieczeństwa będzie oznaczał realne ryzyko utraty możliwości uczestniczenia w strategicznych projektach, również tych związanych z obronnością i bezpieczeństwem państwa.
To szczególnie istotne dla polskich przedsiębiorstw przemysłowych i technologicznych, które coraz aktywniej uczestniczą w europejskich projektach infrastrukturalnych i defence.
Warto zwrócić uwagę na jeszcze jeden aspekt. NIS2 zmienia filozofię odpowiedzialności. Przez lata cyberbezpieczeństwo traktowane było jako domena działów IT. Zarządy często postrzegały je jako obszar techniczny, delegowany do informatyków, administratorów systemów czy zewnętrznych dostawców usług.
Ta epoka właśnie się kończy.
Dyrektywa wprost przenosi odpowiedzialność na poziom zarządczy. Kadra kierownicza ma nie tylko zatwierdzać środki bezpieczeństwa, ale również aktywnie nadzorować system zarządzania ryzykiem cybernetycznym. Co więcej - ustawodawca europejski wprost mówi o odpowiedzialności za zaniedbania.
To bardzo istotna zmiana z perspektywy corporate governance.
Cyberbezpieczeństwo zaczyna funkcjonować podobnie jak compliance, AML czy bezpieczeństwo finansowe - jako obszar osobistej odpowiedzialności członków zarządu i kierownictwa. W praktyce oznacza to również zmianę oczekiwań wobec rad nadzorczych, audytów wewnętrznych oraz procesów decyzyjnych w spółkach.
W sektorach strategicznych będzie to miało szczególne znaczenie także w kontekście odpowiedzialności kontraktowej, relacji z administracją publiczną oraz zdolności do realizacji zamówień związanych z bezpieczeństwem państwa.
Jednocześnie warto uczciwie powiedzieć: dla wielu organizacji największym problemem nie będzie technologia.
Problemem będzie brak uporządkowanego governance. Brak realnej mapy odpowiedzialności. Brak procedur incydentowych. Brak wiedzy, kto podejmuje decyzje kryzysowe. Brak scenariuszy działania po ataku. Brak kontroli nad dostawcami. Brak świadomości zarządu, jak wygląda rzeczywista ekspozycja organizacji na ryzyko.
Współczesne incydenty cybernetyczne coraz rzadziej mają charakter wyłącznie technologiczny. To dziś często zdarzenia wpływające bezpośrednio na zdolność operacyjną przedsiębiorstwa, ciągłość produkcji, logistykę, realizację kontraktów, bezpieczeństwo informacji, relacje z administracją publiczną czy reputację organizacji.
Obejrzyj webinar:
W kontekście obecnej sytuacji geopolitycznej trudno traktować te kwestie wyłącznie jako problem regulacyjny. NIS2 należy dziś postrzegać szerzej - jako element budowania odporności państwa, gospodarki i przedsiębiorstw funkcjonujących w strategicznych sektorach.
I właśnie dlatego dyskusja o cyberbezpieczeństwie coraz częściej pojawia się obok debat dotyczących obronności, infrastruktury krytycznej, bezpieczeństwa energetycznego czy resilience państwa. Bo współczesne bezpieczeństwo coraz rzadziej zaczyna się od granicy państwowej.
Coraz częściej zaczyna się od serwera, dostępu uprzywilejowanego, podatności w systemie albo niepozornego dostawcy w łańcuchu dostaw.
Jarosław Chałas
Partner Zarządzający Radca Prawny
Kancelaria Prawna Chałas i Wspólnicy
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl