Z raportu „Force Threat Intelligence Index” firmy IBM wynika, że aż 32% wszystkich ataków cybernetycznych w 2023 roku było wymierzonych w Europę, w tym 70% z nich w państwa członkowskie UE. Według analizy firmy Check Point Polska bywa atakowana nawet 1000 razy w ciągu tygodnia, co czyni ją jednym z najczęściej atakowanych krajów na świecie . Wspólnota europejska odpowiada na zagrożenia, wprowadzając nowe regulacje zwiększające cyberbezpieczeństwo. Oto 3 najważniejsze akty prawne:

 

Dyrektywa NIS2

 

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii to jeden z głównych aktów prawnych o cyberbezpieczeństwie. Weszła w życie 16 stycznia 2023 roku, a jej implementacja do prawa krajowego powinna zakończyć się do dnia 17 października 2024 roku. Dyrektywa NIS2 dotyczy zwiększenia odporności cybernetycznej podmiotów istotnych dla funkcjonowania państw członkowskich UE. Przepisy NIS2 uzupełniają się z dyrektywą CER, której celem jest poprawienie fizycznej odporności podmiotów krytycznych.

 

Najważniejsze obowiązki podmiotów objętych NIS2 to:

 

• wdrożenie rozwiązań zapewniających wysoki poziom cyberbezpieczeństwa sieci i systemów informacyjnych,


• zgłaszanie incydentów wyznaczonym organom,


• zwiększanie świadomości personelu w zakresie cyberbezpieczeństwa,


• zapewnienie planu ciągłości działania.

 

NIS2 dotyczy podmiotów prywatnych i publicznych, które zostały uznane za ważne lub kluczowe i działają w wyszczególnionych sektorach. Przy kategoryzowaniu podmiotów dyrektywa wdraża też kryterium wielkości organizacji – mikro i małe przedsiębiorstwa są z niej wyłączone.

 

Dyrektywa wprowadza system nadzoru nad podmiotami oraz możliwość nakładania wysokich kar pieniężnych za niewywiązanie się z nałożonych obowiązków.

 

Cyber Resilience Act

 

Cyber Resilience Act to projekt rozporządzenia o cyberbezpieczeństwie, który jako pierwszy w unijnym prawodawstwie wprowadza wymagania dotyczące produktów posiadających elementy cyfrowe. Celem CRA jest zapewnienie wysokiego poziomu cyberbezpieczeństwa produktów cyfrowych i poprawa ich odporności na cyberataki. Ma to doprowadzić do zwiększenia konkurencyjności unijnych firm na globalnych rynkach i zwiększenia poziomu zaufania wśród konsumentów.

 

Rozporządzeniem objęte jest zarówno oprogramowanie, jak i sprzęt. Dotyczy ono między innymi rozwiązań z zakresu Internetu Rzeczy (Internet of Things).

 

Przepisy dotyczą:

 

• wprowadzania produktów posiadających elementy cyfrowe do obrotu,


• projektowania, opracowywania i wytwarzania produktów cyfrowych zgodnie z narzuconymi standardami,


• procesów obsługi podatności,


• raportowania incydentów i zgłaszania zidentyfikowanych luk,


• nadzoru nad rynkiem i wdrażaniem przepisów.

 

Projekt jest rozszerzeniem dyrektywy NIS2. Został zaakceptowany przez Parlament UE i czeka obecnie na akceptację Rady UE. CRA przewiduje dwuletni termin wdrożenia nowych przepisów do krajowych systemów prawnych od momentu wejścia w życie.

 

Rozporządzenie DORA

 

Rozporządzenie DORA dotyczy operacyjnej odporności cyfrowej sektora finansowego. Weszło w życie 16 stycznia 2023 roku. Jego przepisy zaczną obowiązywać po dwuletnim okresie przejściowym.

 

DORA to odpowiedź na rosnącą ilość cyberataków na podmioty finansowe w UE. Z 40 poważnych incydentów odnotowanych przez CSIRT NASK w 2023 roku aż 31 dotyczyło sektora bankowości i infrastruktury rynków finansowych.

 

Celem rozporządzenia jest zwiększenie odporności operacyjnej podmiotów z sektora finansowego. DORA ujednolica przepisy dotyczące cyberbezpieczeństwa podmiotów finansowych, które wcześniej były rozrzucone po różnych aktach prawa unijnego i krajowego.

 

Regulacje obejmują 21 rodzajów podmiotów z sektora finansowego oraz ich dostawców usług ICT. Po wdrożeniu nowych przepisów podmioty muszą być przygotowane na sytuacje kryzysowe i możliwe zakłócenia w działaniu ich systemów. W szczególności dotyczy to zapobiegania, wykrywania i reagowania na incydenty związane z cyberbezpieczeństwem.

 

Warto zauważyć, że DORA jest rozporządzeniem. Oznacza to, że ma zasięg ogólny i jest stosowana bezpośrednio we wszystkich państwach członkowskich UE w takiej samej formie. Dzięki temu zakres przepisów jest taki sam we wszystkich krajach unijnych. Dyrektywa natomiast jest innym rodzajem aktu prawnego, który pozostawia członkom Unii Europejskiej swobodę wyboru formy i środków, za pomocą których ma zostać osiągnięty pożądany rezultat.

 

Innym specjalistycznym rozwiązaniem obejmującym wyłącznie jeden sektor jest system TISAX®, który dotyczy m.in. bezpiecznego przetwarzania informacji i ochrony danych w branży automotive. W przyszłości można spodziewać się kolejnych sektorowych aktów prawnych i dobrych praktyk rynkowych dotyczących cyberbezpieczeństwa na wzór chociażby TISAX®.

   

W kwestii cyberataków Polska nie jest wyjątkiem – ataki zdarzają się często i dotyczą zarówno mniejszych firm, dużych przedsiębiorstw, jak i infrastruktury krytycznej czy podmiotów publicznych. Wystarczy wspomnieć ataki na laboratorium ALAB czy systemy IT firmy PZU z 2023 roku. Wymagania dotyczące odporności na zagrożenia cybernetyczne reguluje Ustawa o Krajowym Systemie Cyberbezpieczeństwa. To główny krajowy akt prawny o cyberbezpieczeństwie, wspierany przez wiele rozporządzeń Rady Ministrów. W kwietniu 2024 roku rozpoczął się proces legislacyjny nowelizacji Ustawy o KSC.

 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 28 sierpnia 2018 roku. Reguluje m.in. to, czym jest operator usług kluczowych i jakie są jego obowiązki. Przepisy wyszczególniają też 5 rodzajów incydentów:

 

• zwykłe,


• dotyczące podmiotów publicznych,


• istotne,


• poważne,


• krytyczne.

 

23 kwietnia 2024 roku ustawodawca udostępnił projekt nowelizacji, który ma dostosować polski porządek prawny do wymagań dyrektywy NIS2. Zmianie ulegnie m.in. dotychczasowy podział podmiotów (zostały podzielone na ważne i kluczowe). Zwiększy się także ogólna liczba sektorów objętych przepisami. Zgodnie z nowelizacją Ustawy o KSC podmioty muszą same określić, czy dotyczą ich te regulacje, i złożyć wniosek o wpisanie do wykazu.

 

Znacznej rozbudowie uległy także zapisy dotyczące nadzoru i środków egzekwowania nowych przepisów. Górne granice kar finansowych zostały zwiększone, a ich zakres rozszerzony.

 

Ustawa o KSC wspierana jest przez inne rozporządzenia, z których warto zwrócić uwagę przede wszystkim na dwa:

 

• w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych,


• w sprawie progów uznania incydentu za poważny.

 

 

Zgodnie z propozycją nowelizacji ustawy o KSC rozszerzeniu ulega katalog podmiotów objętych regulacjami. Obecne przepisy obejmują kilkaset podmiotów, natomiast szacuje się, że po nowelizacji liczba ta wzrośnie do nawet blisko 10 000. Są to firmy, organizacje i instytucje, które działają w konkretnych sektorach:

 

• energia,


• transport,


• bankowość,


• ochrona zdrowia


• dostarczanie wody,


• infrastruktura cyfrowa,


• gospodarka ściekami,


• zarządzanie usługami ICT,


• administracja publiczna,


• przestrzeń kosmiczna,


• usługi pocztowe i kurierskie,


• gospodarowanie odpadami,


• produkcja, wytwarzanie i dystrybucja chemikaliów,


• produkcja, wytwarzanie i dystrybucja żywności,


• produkcja,


• dostawcy usług cyfrowych,


• badania naukowe.

 

Według raportu ESET „Threat Report” z 2022 roku, pojedynczy cyberatak to dla firmy strata w wysokości nawet ponad 1 miliona złotych. Konsekwencje mogą być jednak znacznie poważniejsze – trudno jednoznacznie wycenić utratę zaufania czy wyciek danych. Podmioty objęte regulacjami, które nie zadbają w odpowiedni sposób o swoje bezpieczeństwo cybernetyczne, narażone są również na kary finansowe i administracyjne ze strony organów nadzorczych.

   

Napięta sytuacja międzynarodowa i szybkie zmiany technologiczne sprawiają, że zagrożenie atakami cybernetycznymi jest coraz większe. Unia Europejska broni się przed nimi wprowadzając różne akty prawne o cyberbezpieczeństwie. W polskim systemie prawnym regulacje zostały wprowadzone m.in. w ramach Ustawy o Krajowym Systemie Cyberbezpieczeństwa. W kwietniu 2024 rozpoczęły się prace legislacyjne nad dostosowaniem Ustawy o KSC do nowych europejskich aktów prawnych.

 

Wraz z większą odpornością na cyberataki w parze idą też wyższe wymagania wobec firm spełniających ustawowe kryteria. Problem może pojawić się już na pierwszym etapie – aby sprawdzić, czy dana firma kwalifikuje się jako podmiot ważny lub kluczowy, zachęcamy do kontaktu się ze specjalistami Netii. Pomożemy w określeniu, jakie działania należy podjąć, żeby sprostać ustawowym obowiązkom.

 

Zespół Security Operations Center Netii zajmie się najważniejszymi kwestiami związanymi z cyberbezpieczeństwem firmy. Przygotowuje i przesyła wymagane raporty o incydentach do krajowych zespołów reagowania CSIRT. Prowadzi też aktywny monitoring sieci przy użyciu wydajnych systemów, co pozwala natychmiast reagować na wszelkie zagrożenia cybernetyczne.

 

Wybierając zewnętrzny SOC od Netii, firmy mogą wdrażać niezbędne rozwiązania z zakresu cyberbezpieczeństwa bez ponoszenia ryzyka oraz dokonywania inwestycji związanych z budową własnych struktur bezpieczeństwa teleinformatycznego.