Dyrektywa NIS2 zbliża się wielkimi krokami, stawiając przed wieloma sektorami gospodarki szerokie wyzwania w zakresie cyberbezpieczeństwa, szczególnie w obszarze healthcare. Czy jesteśmy gotowi na nowe zasady, które mają podnieść poziom ochrony sieci i systemów informatycznych? O tym dyskutowali eksperci, uczestnicy i partnerzy Związku Przedsiębiorców i Pracodawców podczas konferencji zorganizowanej przez Forum Cyfrowe i Forum Zdrowia.
Dyrektywa NIS2, mająca na celu zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych w Europie, nakłada na przedsiębiorstwa i organizacje z sektorów szczególnie podatnych na ryzyko cyberataków, obowiązek wdrożenia adekwatnych środków ochronnych oraz obowiązek zgłaszania incydentów bezpieczeństwa. Nowe przepisy, które dotyczą szerokiego zakresu branż, w tym energetyki, opieki zdrowotnej, technologii informacyjnych, bankowości i finansów, transportu, zarządzania odpadami, usług pocztowych i kurierskich oraz produkcji, przetwarzania i dystrybucji żywności, muszą zostać wdrożone do 17 października 2024 roku.
Dodatkowo przyjęta na początku 2023 roku dyrektywa NIS2 nakłada na kraje unijne obowiązek dostosowania prawa do jej wymogów. W tym kontekście niezwykle ważna będzie nowelizacja ustawy KSC. O tym wszystkim rozmawialiśmy z decydentami, ekspertami oraz przedstawicielami rynku podczas konferencji ekspertów organizowanej przez Forum Cyfrowe ZPP oraz Forum Zdrowia ZPP pt. Dyrektywa NIS2 – czy jesteśmy gotowi na nowe zasady cyberbezpieczeństwa w kluczowych sektorach gospodarki?
Polska ścieżka ku cyberbezpieczeństwu: wyzwania i szanse NIS2
Wydarzenie rozpoczął panel dyskusyjny na temat poziomu cyberbezpieczeństwa polskich przedsiębiorstw oraz wyzwań i szans, jakie stwarza nowa europejska regulacja, a wystąpili w nim: Bohdan Pawłowicz, Doradca Z-cy Dyrektora NASK ds. Nowych Technologii dla Polityk Publicznych – NASK, dr Katarzyna Chojecka, Head of Government Affairs CEE – Cisco, Marcin Domagała, Departament Cyberbezpieczeństwa – Ministerstwo Cyfryzacji, Cyprian Gutkowski, ekspert w zakresie Ochrony Danych Osobowych i Miękkiego Cyberbezpieczeństwa – Fundacja Bezpieczna Cyberprzestrzeń oraz Przemek Mikus, Wiceprezes SoDA – Software Development Association Poland.
Ekspert Fundacji Bezpieczna Cyberprzestrzeń zwrócił uwagę na potrzebę zadbania o bezpieczeństwo łańcucha dostaw.
– Po 17 października w Polsce zacznie masowo zmieniać się PKD. Natomiast wdrożenie dyrektywy NIS2 będzie problemem, ponieważ przewiduje kontrolę poprzez audyty. Największym wyzwaniem są kwestie związane z dostawcami, ponieważ należy zadbać o bezpieczeństwo łańcucha dostaw. Jest to kluczowe w kontekście NIS2, ponieważ większość ataków odbywa się nie poprzez ataki na systemy korporacji, ale poprzez systemy ich dostawców czy osoby trzecie, z którymi współpracują. W związku z tym konieczne jest zabezpieczenie dostawców. W NIS2 chodzi głównie o ciągłość działania usługi. – wskazuje Cyprian Gutkowski.
Istnieją sektory, które z racji specyfiki swojej działalności mają większą świadomość zagrożeń w każdym wymiarze, co mobilizuje ich do pewnych działań. Natomiast z drugiej strony istnieje cała rzesza firm, które w żadnym stopniu nie mają świadomości istniejących zagrożeń.
Sam proces zapoznania się z nowymi wymogami i autoanaliza, czy przedsiębiorcy podlegają tym przepisom, jest procesem czasochłonnym i należy podjąć stosowne nakłady, aby przeprowadzić go prawidłowo. Z pewnością dla części przedsiębiorców to duże wyzwanie, ale jestem przekonana, że wdrożenie NIS2 to duży krok w stronę cyfrowej transformacji – podkreśla dr Katarzyna Chojecka.
Dyrektywa NIS2 jako zabezpieczenie obszaru healthcare w Polsce i pozostałych krajach UE – szanse i wyzwania
Kolejny panel podczas konferencji został poświęcony dyskusji na temat nowych obowiązków wynikających z implementacji NIS2 w sektorze zdrowia, a udział w nim wzięli: Jeremi Olechnowicz, kierownik CSIRT w CeZ – Centrum e-Zdrowia, dr Anna Gawrońska, adiunkt, Zakład Innowacji w Ochronie Zdrowia – Szkoła Główna Handlowa, Warszawa, Marcin Serafin, Partner, Rymarz Zdort Maruta, Ekspert ds. RODO i Cybersecurity oraz Michał Sosinka, Partner Associate – Cyber Deloitte Risk Advisory.
Zgodnie z nową dyrektywą NIS2, w przypadku wycieku danych z serwerowni, na przykład szpitala, w danym kraju członkowskim, konieczne będzie zgłoszenie takiego incydentu nie tylko zgodnie z prawem danego kraju, którego dotyczy incydent, ale także zgodnie z prawem kraju, z którego pochodzą dane pacjentów przechowywane na tych serwerach.
Przykłady takich zagrożeń będą występowały coraz częściej. Na zachodzie podobne zdarzenia pojawiają się natomiast z większą częstotliwością, szczególnie w Stanach Zjednoczonych. NIS2 kładzie większy nacisk na łańcuchy dostaw, co z pewnością zwiększy poziom cyberbezpieczeństwa. Szpitale będą musiały przeprowadzić odpowiednie analizy rynku, które wskażą, od jakich systemów zewnętrznych są uzależnieni i w jaki sposób mogą zadbać o ich bezpieczeństwo – podkreślił Jeremi Olechnowicz, kierownik CSIRT w CeZ – Centrum e-Zdrowia.
Eksperci odpowiedzieli również na pytanie, jak zarządzać ryzykiem wystąpienia cyberataków, a także jak zapewnić ciągłość funkcjonowania w przypadku ich wystąpienia.
Najważniejsze jest budowanie długoterminowej strategii cyberbezpieczeństwa, opartej z pewnością na już istniejących standardach. Należy pamiętać, że sektor ochrony zdrowia jest specyficzną branżą, której przedstawiciele często nie posiadają dedykowanych zespołów IT. Strategie, o których mówimy, powinny być spójne z wytycznymi Ministerstwa Zdrowia i Ministerstwa Cyfryzacji oraz wspierać jednostki podlegające dyrektywie NIS2. Procesy, procedury oraz analizy rynkowe powinny być budowane na podstawie dokładnej analizy. W szpitalach coraz częściej pojawia się potrzeba zarządzania kryzysowego, szczególnie w przypadku wycieku danych. Problemem sektora z pewnością nie jest brak funduszy. NFZ uruchamia dodatkowe środki na wzmocnienie cyberbezpieczeństwa, a ENISA również wspiera tego typu inicjatywy. Jesteśmy w stanie sprostać tym wyzwaniom – podsumował Michał Sosinka, Partner Associate – Cyber Deloitte Risk Advisory.
Wydarzenie zostało objęte patronatem honorowym Ministerstwa Cyfryzacji oraz Centrum e-Zdrowia oraz patronatem medialnym Cyberdefence24.pl