Jak dyrektywa NIS2 zmienia strategię ochrony danych? Rozmowa z mecenasem Tomaszem Klemtem 

Informacja to fundament działania każdej organizacji – niezależnie od tego, czy mówimy o podmiotach prywatnych, czy instytucjach publicznych. Organizacje przetwarzają ogromne ilości danych, które mogą być atrakcyjne dla konkurencji, grup przestępczych czy nawet obcych służb. Dlatego Unia Europejska postanowiła chronić kluczowe sektory, ustanawiając wysokie wymagania w zakresie cyberbezpieczeństwa. Dyrektywa NIS2 nie pojawiła się w próżni – jest odpowiedzią na rosnącą liczbę zagrożeń i incydentów związanych z cyberatakami, nakładając nowe obowiązki wynikające z regulacji na różne podmioty, takie jak dostawcy usług zaufania. 

Czytaj więcej o obowiązkach wynikających z NIS2

Dziś rozmawiam z mecenasem Tomaszem Klemtem – radcą prawnym, który zawodowo zajmuje się doradztwem prawnym w zakresie wdrażania nowych technologii takich jak DORA czy NIS2. 

Dyrektywa NIS2 budzi sporo emocji i pytań. Wiele organizacji obawia się jej wdrożenia. Czy rzeczywiście mamy do czynienia z rewolucją? 

Warto spojrzeć na ten temat w szerszym kontekście. W przeszłości wiele organizacji nie traktowało cyberbezpieczeństwa priorytetowo, skupiając się na rozwoju i optymalizacji kosztów. Dzisiaj nie możemy sobie na to pozwolić – cyberataki mogą sparaliżować kluczowe sektory gospodarki, wpłynąć na bezpieczeństwo infrastruktury krytycznej, a nawet stanowić zagrożenie dla stabilności państwa. Wdrażając regulacje takie jak NIS2, Unia Europejska stara się zapewnić jednolity i wysoki poziom ochrony we wszystkich państwach członkowskich. 

Dla podmiotów, które już od lat świadomie zarządzają ryzykiem cyberbezpieczeństwa, NIS2 nie będzie rewolucją, a raczej ewolucją dotychczasowych standardów. Natomiast dla tych, którzy do tej pory nie wdrażali skutecznych procedur ochrony przed cyberzagrożeniami, będzie to duże wyzwanie. Nowe przepisy oznaczają wzrost odpowiedzialności, ale także konieczność realnej poprawy standardów bezpieczeństwa. Ważne jest, aby koncentrować się na edukacji w obszarze cyberbezpieczeństwa, podkreślając znaczenie działań mających na celu zwiększenie świadomości społecznej na temat zagrożeń z cyberprzestrzeni. 

NIS2 nie jest jednak jedynym aktem prawnym regulującym cyberbezpieczeństwo w Europie.  

Zgadza się. Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza jeszcze bardziej restrykcyjne wymogi dla sektora finansowego, obejmując nie tylko banki, ale także ubezpieczycieli, dostawców usług płatniczych oraz fintechy. DORA nakłada obowiązek przeprowadzania testów odporności systemów oraz szczegółowe wymogi dotyczące zarządzania ryzykiem ICT. Organizacje podlegające zarówno NIS2, jak i DORA, będą musiały dostosować swoje procedury do obu regulacji, zapewniając pełną zgodność z przepisami prawa krajowego, przy czym DORA stanowi lex specialis do NIS2 (czyli w uproszczeniu: w przypadku sprzeczności – stosujemy DORA, jako akt nadrzędny).

Dodatkowo, NIS2 jest kompatybilna z normą ISO 27001, która od lat stanowi międzynarodowy standard w zakresie zarządzania bezpieczeństwem informacji. Organizacje posiadające certyfikację ISO 27001 mają już solidne podstawy do wdrożenia wymagań NIS2, ponieważ obie regulacje koncentrują się na zarządzaniu ryzykiem, monitorowaniu incydentów oraz ciągłym doskonaleniu systemów bezpieczeństwa. 

W Polsce przy okazji terminu NIS2 pada nazwa KSC – Krajowy System Cyberbezpieczestwa. W jaki sposób KSC i NIS2 się uzupełniają? 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa odgrywa kluczową rolę w wdrażaniu dyrektywy NIS2, ponieważ zapewnia ramy prawne i proceduralne dla zarządzania ryzykiem oraz ochrony sieci i systemów informatycznych. Wdrożenie NIS2 wymaga dostosowania krajowego systemu cyberbezpieczeństwa do nowych wymagań i standardów, co wiąże się z koniecznością wprowadzenia zmian w przepisach, procedurach i mechanizmach. Polski ustawowdawca zdecydował się na wdrożenie Dyektywy NIS2 poprzez nowelizację ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.  Istnieją różne głosy, krytykujące takie podejście i postulujące wydanie całkowicie nowej ustawy – natomiast z punktu widzenia podmiotów objętych NIS2 – najważniejsze jest rozpoczęcie przygotowań już dziś, nie czekając na finalne brzmienie ustawy. Dzięki temu, organizacje będą mogły skutecznie zarządzać ryzykiem, monitorować incydenty cyberbezpieczeństwa oraz reagować na nie w sposób skoordynowany i efektywny. 

Pracujesz z organizacjami nad wdrażaniem od strony proceduralnej regulacji takich jak DORA a obecnie przygotowujesz je do nowelizacji KSC. Na pewno spotkałeś się z mitami albo błędnymi przekonaniami panującymi w firmach odnośnie NIS2. 

Przede wszystkim panuje mit, że NIS2 dotyczy tylko dużych firm. W rzeczywistości NIS2 obejmuje szerokie spektrum podmiotów, w tym małe i średnie przedsiębiorstwa oraz instytucje publiczne. Kolejnym mitem jest przekonanie, że wystarczy jednorazowe wdrożenie procedur i mamy temat zamknięty. NIS2 nakłada obowiązek ciągłego monitorowania, audytowania i poprawiania systemów cyberbezpieczeństwa. 

Co więcej, musimy pamiętać, że wdrażanie wysokich wymogów regulacyjnych często prowadzi do konieczności zrzeszania się organizacji w celu dzielenia kosztów i zasobów. Mieliśmy już przykład takiego procesu przy wdrażaniu dyrektywy PSD2 w sektorze finansowym. Banki spółdzielcze, które wcześniej działały niezależnie, zostały zmuszone do stworzenia większych struktur organizacyjnych, ponieważ indywidualne spełnienie wszystkich wymogów regulacyjnych było dla nich zbyt kosztowne. Podobny trend może dotyczyć organizacji objętych NIS2 – szczególnie jednostek sektora publicznego i mniejszych podmiotów, które będą musiały współpracować, aby efektywnie zarządzać cyberbezpieczeństwem. 

Dotknąłeś tematu kosztów. Wiemy, że budowa cyberbezpiecznej organizacji wiąże się wprost z kosztami chociażby technologii do monitorowania zagrożeń. A co z ukrytymi kosztami związanymi z brakiem odpowiednich zabezpieczeń? Jakie ryzyka często są bagatelizowane?  

Koszty widoczne stanowią jedynie 15% całkowitych kosztów incydentu cyberbezpieczeństwa – to są grzywny, kary regulacyjne, błędy danych. Natomiast aż 85% to koszty ukryte: utracone korzyści, konieczność manualnej pracy z danymi, wydłużony czas dostępu do informacji, ryzyko regulacyjne, a przede wszystkim utrata zaufania klientów i partnerów. 

Przepisy przewidują zarówno kary finansowe, jak i osobistą odpowiedzialność kierowników organizacji. Dla podmiotów kluczowych w sektorach krytycznych może to być do 10 milionów euro lub 2% przychodów. Kierownik organizacji może zostać ukarany grzywną do 600% swojego wynagrodzenia. To ogromna zmiana, bo oznacza realną odpowiedzialność osób zarządzających.

Organizacje często nie uwzględniają kosztów związanych z długofalowymi konsekwencjami naruszenia bezpieczeństwa, takimi jak spadek wartości marki, utrata klientów czy koszty odzyskiwania reputacji. Model 1-10-100 jasno pokazuje, że prewencja jest zawsze tańsza niż naprawa – koszt zapobiegania incydentowi to 1 zł, koszt jego naprawy – 10 zł, a koszt wynikający z konsekwencji zaniedbania – aż 100 zł. 

Przykłady z rynku pokazują, że organizacje, które inwestują w cyberbezpieczeństwo, unikają ogromnych strat. Wystarczy spojrzeć na duże wycieki danych, które kosztowały firmy miliony euro i nadszarpnęły ich wiarygodność na lata. W sektorze publicznym brak odpowiednich zabezpieczeń może prowadzić do kompromitacji kluczowych systemów państwowych i zagrożenia dla obywateli. 

Wiele organizacji, np. ubezpieczycieli oraz agencje ubezpieczeniowe posiadają dane potencjalnie istotne dla obcych służb, np. w zakresie ubezpieczeń grupowych na życie  funkcjonariuszy Straży Granicznej. Włamanie do ich systemów może doprowadzić do wycieku szczegółowych danych zdrowotnych funkcjonariuszy, w tym informacji o ich stanie zdrowia i ograniczeniach fizycznych. Te dane mogłyby zostać wykorzystane do planowania działań destabilizujących bezpieczeństwo na granicy, na przykład przez organizowanie nielegalnych przerzutów imigrantów w momentach, gdy strażnicy o słabszym stanie zdrowia mają dyżury. To doskonały przykład na to, że cyberzagrożenia to nie tylko kwestie techniczne, ale także realne zagrożenia dla bezpieczeństwa narodowego. Jeżeli organizacje stosują odpowiednie mechanizmy zarządzania ryzykiem zgodnie z NIS2 to prawdopodobnie uda się uniknąć tego typu incydentów. 

Należy pamiętać, że tego typu przykłady to nie tylko domena sektora publicznego. Istnieje szeroki rynek „przedsiębiorstw” specjalizujących się w realizacji ataków na zamówienie, celem destabilizacji systemów konkurencji lub uzyskania ich tajemnic handlowych, celem przejęcia klientów lub uzyskania dużego kontraktu. Co ciekawe, tego typu „przedsiębiorstwa” są tak wyspecjalizowane, że udzielają nawet gwarancji jakości w zakresie swoich usług. 

Co wobec tego jest najważniejszą konsekwencją dyrektywy NIS2? 

Oczekiwania są duże – usprawnienie procesów, proaktywne podejście do zarządzania organizacją, eliminacja niezgodności, minimalizacja strat finansowych. Ale jeśli miałbym wskazać jedną, kluczową konsekwencję NIS2, to powiedziałbym: poznanie krytycznych aspektów ryzyka wymagających monitorowania i kontroli. 

Jeśli organizacja nie przeprowadzi rzetelnej oceny ryzyka, nie będzie w stanie skutecznie wdrożyć zabezpieczeń.  

Organizacja musi dokładnie określić, jakie zasoby przetwarza, jakie są jej słabe punkty i jakie zagrożenia mogą jej zagrażać. Następnie trzeba opracować politykę bezpieczeństwa informacji, wdrożyć procedury reagowania na incydenty i plany ciągłości działania. Ważnym elementem jest również audyt dostawców – to oni często stanowią najsłabsze ogniwo w łańcuchu bezpieczeństwa. Mogą być ryzykiem, które należy określić i przekalkulować. 

Niestety, w praktyce często analiza ryzyka jest traktowana powierzchownie. Inspektorzy ochrony danych osobowych wielokrotnie wskazują, że firmy robią to „po łebkach” – procesy nie są dogłębnie analizowane w poszczególnych działach. NIS2 i ustawa o krajowym systemie cyberbezpieczeństwa kładą ogromny nacisk na ten aspekt, dlatego kluczowe będzie podejście systemowe, które pozwoli nie tylko wdrożyć wymagania na papierze, ale realnie podnieść poziom bezpieczeństwa organizacji. 

Wspomniałeś o audytach dostawców. Tych audytów w kontekście NIS2 jest oczywiście więcej, choćby audyt rozwiązań technologicznych. Często prowadzimy takie audyty i zauważamy, że piętą achillesową organizacji jest brak dokumentacji. Czy wejście w życie nowelizacji KSC to zmieni? 

Dokumentacja to fundament. Polityki bezpieczeństwa, procedury zarządzania incydentami, plany ciągłości działania – wszystko to musi być jasno określone i aktualizowane. Dobrze prowadzona dokumentacja to nie tylko spełnienie wymogów regulacyjnych, ale także realne narzędzie do skutecznego zarządzania cyberbezpieczeństwem. Dodatkowo – stanowi kluczowy aspekt ciągłości wiedzy w organizacji. Spisanie tego co robimy w praktyce jest gwarantem możliwości płynnej kontynuacji działalności w sytuacji utraty kluczowych pracowników. 

Jednak sama dokumentacja to nie tylko formalność – jej jakość i szczegółowość są kluczowe. Ważne jest nie tylko spisanie polityk i procedur, ale także ich dostosowanie do realiów organizacji. Dokumentacja powinna uwzględniać aspekty techniczne, weryfikację umów z podwykonawcami oraz procedury zgodności prawnej. W tym procesie konieczne jest zaangażowanie działu prawnego, ponieważ wymagania dla dostawców mogą się znacząco zwiększyć. To często prowadzi do konieczności renegocjacji umów i podniesienia standardów bezpieczeństwa przez firmy współpracujące, co może oznaczać dodatkowe koszty. Jednakże mądrze poprowadzony projekt dostosowania do nowych regulacji pozwala te koszty ograniczyć (np. poprzez wykorzystanie bezpłatnych narzędzi) oraz rozłożyć w czasie, czyniąc je akceptowalnymi nawet dla niewielkich firm. 

Jakie rady dałbyś organizacjom, które dopiero zaczynają swoją drogę z NIS2? 

Po pierwsze – nie czekać na ostatnią chwilę. Proces wdrażania wymaga czasu, a terminy są nieubłagane. Po drugie – nie traktować NIS2 jako zbędnej biurokracji, ale jako szansę na zwiększenie odporności organizacji na cyberzagrożenia. Po trzecie – warto inwestować w ludzi. Szkolenia i rozwój kompetencji pracowników to klucz do skutecznej ochrony. Dobrze przygotowane organizacje będą miały przewagę, bo NIS2 to nie tylko obowiązek, ale i realna przewaga konkurencyjna oraz ochrona przed cyberzagrożeniami.