Polska
GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com
UK
Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com
US Region
Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com
BlogCyberbezpieczeństwo
NIS2 w sektorze publicznym. Jak nowelizacja KSC wpływa na instytucje publiczne? Cyberzagrożenia już dawno przestały być problemem wyłącznie sektora prywatnego. Szpitale, urzędy, instytucje publiczne – wszystkie te podmioty stały się celem coraz bardziej wyrafinowanych ataków. Od ransomware paraliżującego szpitale, po zaszyfrowanie dokumentów w urzędach marszałkowskich – skutki są nie tylko kosztowne, ale również zagrażają codziennemu funkcjonowaniu obywateli. NIS2 w sektorze publicznym to sposób na podniesienie standardów cyberbezpieczeństwa na każdym poziomie administracji publicznej.
Sprawdź, jak przez cyberataki cierpią instytucje publiczne w Polsce
W odpowiedzi na rosnące zagrożenie Unia Europejska wprowadziła dyrektywę NIS2, która nakłada nowe obowiązki w zakresie zarządzania cyberbezpieczeństwem. Polska z kolei pracuje nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która doprecyzuje i uszczelni regulacje. To nie tylko kolejna formalność – to rewolucja w podejściu do ochrony danych i systemów IT, wymagająca świadomego planowania oraz strategicznych działań.
Jakie kroki powinny podjąć instytucje publiczne, by dostosować się do nowych wymogów? Jakie konsekwencje czekają tych, którzy je zignorują?
Według danych Check Point, rok 2024 przyniósł gwałtowny wzrost liczby cyberataków na polskie organizacje – szczególnie w sektorach o znaczeniu strategicznym. Najczęściej celem stawały się podmioty z obszaru użyteczności publicznej (średnio 2063 ataki miesięcznie) oraz sektor wojskowo-rządowy (2058 ataków miesięcznie). Dla porównania, w Czechach i na Węgrzech odnotowano ok. 2200 ataków, a na Słowacji i w Niemczech – odpowiednio 1400 i 1300. Oznacza to, że Polska znajduje się w czołówce państw Europy Środkowej pod względem liczby incydentów wymierzonych w sektor publiczny.
Na liście najbardziej zagrożonych branż w Polsce kolejne miejsca zajęły: finanse i bankowość (1836 ataków miesięcznie), sektor komunikacji (1557) oraz produkcja (359). Globalnie w 2024 roku skala ataków wzrosła aż o 44% w porównaniu z rokiem poprzednim, co pokazuje, że cyberzagrożenia rosną w siłę nie tylko lokalnie, ale i na całym świecie.
Jeśli ktoś jeszcze ma wątpliwości czy cyberataki stanowią realne zagrożenie dla sektora publicznego, wystarczy spojrzeć na kilka głośnych incydentów z ostatnich lat i dodać do tego, że Urząd Miejski w Słupsku jest atakowany średnio 1000 razy dziennie (!).
🔴 Szpital Matki Polki w Łodzi (2022)
Atak ransomware LockBit 3.0 spowodował zaszyfrowanie plików i serwerów. Szpital został zmuszony do czasowego wyłączenia systemów, co wpłynęło na diagnostykę i leczenie pacjentów.
🔴 Centralny Szpital Kliniczny UM w Łodzi (2023)
Hakerzy przejęli kontrolę nad systemem placówki, a administracja była zmuszona do natychmiastowego wyłączenia systemów IT. Choć dane pacjentów nie wyciekły, skutki ataku były odczuwalne przez kilka dni.
🔴 Urząd Gminy Tuczna (2021)
Atakujący zaszyfrowali dane urzędu i zażądali okupu w kryptowalucie. Gmina odmówiła zapłaty, ale utraconych plików nie udało się odzyskać. Efekt? Przejście na ręczne odtwarzanie księgowości podatkowej i budżetowej.
🔴 Urząd Marszałkowski Województwa Mazowieckiego (2022)
Zaszyfrowanie systemu Elektronicznego Zarządzania Dokumentami sparaliżowało ponad 300 jednostek samorządowych. To dowód, że atak na jedną instytucję może pociągnąć za sobą lawinę problemów w całym ekosystemie administracji publicznej.
Te przypadki pokazują jedno: NIS2 w sektorze publicznym to potrzebne regulacje. Cyberzagrożenia w sektorze publicznym są realne, a ich skutki mogą być katastrofalne. Dlatego NIS2 i KSC wymuszają proaktywne podejście do cyberbezpieczeństwa.
Nie każda instytucja automatycznie podlega przepisom NIS2 i nowelizacji KSC, ale ich zasięg jest szeroki.
Podmioty objęte regulacjami dzielą się na dwie główne grupy:
✔ Podmioty kluczowe – obejmują m.in. szpitale, urzędy, operatorów infrastruktury krytycznej, sektor energetyczny, finansowy czy dostawców usług cyfrowych. Są one objęte nadzorem prewencyjnym, co oznacza, że mogą być kontrolowane nawet bez incydentu.
✔ Podmioty ważne – należą do nich m.in. producenci żywności, firmy chemiczne, przedsiębiorstwa transportowe czy operatorzy pocztowi. W ich przypadku obowiązuje nadzór następczy – kontrole następują po wystąpieniu incydentu.
Każdy podmiot powinien zweryfikować, czy podlega nowym regulacjom. Brak działań może skutkować wysokimi karami finansowymi i prawną odpowiedzialnością zarządu.
Przystosowanie się do NIS2 w sektorze publicznym nie jest jednorazowym działaniem, lecz procesem wymagającym strategicznego podejścia. NIS2 i nowelizacja KSC wprowadzają konkretne wymagania, które mają na celu zwiększenie odporności na cyberzagrożenia. Aby spełnić nowe obowiązki, organizacje muszą nie tylko wdrożyć odpowiednie technologie, ale również przeorganizować podejście do zarządzania ryzykiem, raportowania incydentów i ochrony danych. Jak się do tego zabrać?
Pierwszym krokiem jest określenie, czy instytucja podlega regulacjom. Może się to wydawać oczywiste w przypadku dużych szpitali czy urzędów administracji państwowej, ale niektóre podmioty – na przykład mniejsze jednostki samorządowe, organizacje odpowiedzialne za dostawy wody czy nawet firmy współpracujące z kluczowymi sektorami – mogą nie zdawać sobie sprawy, że wchodzą w zakres nowych przepisów.
Brak świadomości może prowadzić do poważnych konsekwencji, w tym wysokich kar finansowych, a nawet odpowiedzialności zarządu za niedopełnienie obowiązków. Dlatego organizacje powinny rozpocząć od analizy swojej działalności oraz powiązań z innymi podmiotami, a jeśli pojawiają się wątpliwości – skorzystać z narzędzi samooceny i konsultacji z ekspertami.
Gdy już wiadomo, że instytucja musi wdrożyć wymagania NIS2, należy przeprowadzić audyt zgodności, który pomoże określić aktualny stan zabezpieczeń i luk w systemach IT. To kluczowy moment, w którym organizacja może sprawdzić, czy jej infrastruktura jest przygotowana na potencjalne cyberataki i gdzie pojawiają się największe ryzyka. Audyt powinien obejmować zarówno analizę technologiczną – czyli ocenę zabezpieczeń sieciowych, systemów operacyjnych, metod autoryzacji i ochrony danych – jak i przegląd procedur.
Brak jednoznacznych odpowiedzi na te pytania może oznaczać, że organizacja jest narażona na poważne ryzyko.
Dlatego stworzyliśmy audyt zgodności z NIS2, który odpowiada na pytania, w jakim stopniu organizacja już spełnia założenia dyrektywy NIS2 w sektorze publicznym i jakie kroki powinna podjąć, żeby je spełnić całkowicie.
Sam audyt to jednak dopiero początek. Kluczowe jest stworzenie polityki bezpieczeństwa i wdrożenie odpowiednich procedur, które nie tylko spełnią wymogi prawne, ale przede wszystkim zapewnią realną ochronę przed zagrożeniami. Dyrektywa NIS2 nakłada obowiązek identyfikacji ryzyk i oceny ich wpływu na organizację, co oznacza konieczność wdrożenia procedur zarządzania dostępami, inwentaryzacji zasobów IT, a także systematycznego testowania podatności na cyberataki.
Jednym z kluczowych aspektów jest również sposób postępowania w przypadku incydentu – regulacje wymagają, by organizacje posiadały jasne i efektywne mechanizmy zgłaszania incydentów do CSIRT sektorowego w ciągu 24 godzin i dostarczały pełny raport w ciągu 72 godzin. Bez odpowiednich procedur spełnienie tych wymogów może być trudne, co narazi instytucję na sankcje.
Wdrażając zmiany, nie można zapominać o monitorowaniu systemów IT i testowaniu zabezpieczeń, ponieważ nawet najlepsze procedury pozostaną jedynie teorią, jeśli w praktyce nie zostaną poddane sprawdzianowi.
Obowiązkowe audyty i testy bezpieczeństwa wymagane przez NIS2 to nie tylko wymóg formalny, ale sposób na realne zwiększenie odporności organizacji na ataki. Instytucje powinny wdrożyć rozwiązania pozwalające aktywnie monitorować zagrożenia – systemy SIEM mogą analizować logi i wykrywać podejrzaną aktywność, a EDR/XDR umożliwiają wykrywanie i neutralizację zagrożeń na poziomie urządzeń końcowych.
Jednocześnie regularne testy penetracyjne pomogą określić, czy infrastruktura IT rzeczywiście jest bezpieczna, czy też istnieją luki, które mogą zostać wykorzystane przez cyberprzestępców.
Na poziomie wykonawczym należy ustalić czy zatrudniać analityków bezpieczenstwa (i czy w ogóle nas na to stać), czy wybrac usługi półautomatyczne lub automatyczne, jak np. Cisco XDR (Extended Detection and Response).
Nie można także zapominać o czynniku ludzkim. Nawet najlepsze systemy zabezpieczeń mogą zostać obejściem, jeśli pracownicy nie przestrzegają zasad cyberhigieny. To właśnie dlatego szkolenia i budowanie świadomości zagrożeń są jednym z najważniejszych filarów skutecznej polityki bezpieczeństwa. Phishing, inżynieria społeczna, nieodpowiednie zarządzanie hasłami – to tylko kilka problemów, które można zminimalizować dzięki dobrze zaplanowanemu programowi edukacyjnemu. Nie chodzi jednak o jednorazowe szkolenie, ale o ciągłą pracę nad podnoszeniem świadomości, regularne symulacje ataków oraz sprawdzanie, czy pracownicy stosują dobre praktyki na co dzień.
Przygotowanie instytucji publicznej na NIS2 i nowelizację KSC wymaga kompleksowego podejścia – od identyfikacji ryzyk, przez audyt i monitorowanie, aż po szkolenie pracowników. Organizacje, które odkładają dostosowanie się do nowych regulacji, mogą nie tylko ponieść kary finansowe, ale przede wszystkim stać się łatwym celem dla cyberprzestępców.
Grandmetric oferuje pełne wsparcie w zakresie wdrożenia wymogów NIS2, od analizy ryzyka, przez wdrażanie narzędzi IT, aż po szkolenia dla zespołów.
Czy Twoja instytucja jest gotowa na nowe regulacje? Skontaktuj się z nami, by przeprowadzić audyt zgodności i uniknąć zagrożeń zanim będzie za późno. 🚀
