5-8 minut

Cyberbezpieczeństwo uregulowane

Menedżerowie ds. bezpieczeństwa IT muszą być nie tylko ekspertami w swojej dziedzinie, ale również orientować się w gąszczu aktów prawnych wydawanych przez instytucje międzynarodowe i krajowe. Rok 2024 będzie pod tym względem szczególny.

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:
  1. JAKIE NAJWAŻNIEJSZE REGULACJE „GROŻĄ” UCZESTNIKOM RYNKU IT?
  2. ILE CZASU NA PRZYGOTOWANIE MAJĄ FIRMY OBJĘTE REGULACJAMI?
  3. W JAKI SPOSÓB MOŻNA POPRAWIĆ CYBERODPORNOŚĆ FIRMY KORZYSTAJĄC Z ZEWNĘTRZNYCH USŁUGODAWCÓW?

Jednym ze skutków rosnącego znaczenia infrastruktury sieciowej i usług cyfrowych jest skłonność do wprowadzania kolejnych regulacji mających uporządkować rynek i zmusić jego uczestników do dbałości o bezpieczeństwo infrastruktury oraz danych. Błyskawiczny rozwój technologii sprawia zaś, że przygotowywane wielkim wysiłkiem regulacje stają się nieaktualne już w dniu ich ogłoszenia – jak stało się z dyrektywą NIS (Directive on Security of Network and Information Systems) opublikowaną w 2016 roku – i wymagają kolejnych modyfikacji. W dziedzinie cyberodporności modyfikacje te najczęściej poszerzają zakres stosowania przepisów prawa o nowe obszary i podmioty, a także zaostrzają wymogi dotyczące przygotowania, procedur, czy stosowanego sprzętu. Wszystko to sprawia, że przepisy prawa coraz bardziej przypominają labirynt, w którym zgubimy się bez przewodnika.

Wdrażanie nowych przepisów to zresztą nie tylko kwestia podnoszenia odporności na ewentualne cyberzagrożenia. Regulacje zawierają również przepisy dotyczące kar finansowych dla firm – bezpośrednio dla członków zarządu, którzy nie dopełnili obowiązków przewidzianych prawem. Zupełnie odrębnym negatywnym skutkiem niestosowania się do przepisów może być utrata wiarygodności u partnerów i odpływ klientów.

Europejski parasol

Jednym z najistotniejszych aktów prawnych regulujących tę sferę jest NIS2. Dyrektywa ta została opublikowana w 2022 roku i weszła w życie w styczniu 2023 roku. Wdrożenie przewidzianych w niej rozwiązań do przepisów państw członkowskich ma nastąpić do połowy października 2024 roku.

Jest ona rozwinięciem wspomnianej NIS – rozszerza jej zakres m.in. o administrację publiczną, sektor żywności, firmy kurierskie, ścieki, przemysł lekowy czy zarządzanie odpadami i oraz szerzej traktuje niektóre sektory (m.in. z zakresu infrastruktury cyfrowej)[i]. Wprowadza również nowy podział podmiotów objętych regulacją – na podmioty kluczowe oraz podmioty ważne, jednak co do zasady są to duże i średnie firmy. Przedsiębiorstwa małe i mikro nie są objęte tymi przepisami, o ile nie świadczą usług o znaczeniu krytycznym. Na podmioty objęte dyrektywą zostają nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz szyfrowania.

Jedną z najistotniejszych zmian z punktu widzenia firm jest jednak zagrożenie karami finansowymi. Dla podmiotów kluczowych maksymalna kara może wynosić 10 mln euro lub 2 proc. łącznego rocznego światowego obrotu (zastosowanie ma kwota wyższa). Nieco niższe kary przewidziano dla podmiotów ważnych[ii].

Więcej o NIS2 w Strefie wiedzy.

Regulacje zawarte w NIS2 (a wcześniej w NIS) są przenoszone na polski grunt m.in. za pośrednictwem Ustawy o Krajowym Systemie Bezpieczeństwa[iii].

Nowy poziom odporności

Firmy działające na rynku IT mogą również – w zależności od profilu prowadzonej działalności – podlegać dyrektywom o odporności podmiotów krytycznych (CER) oraz ws. horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi (CRA).

CER weszła w życie w tym samym momencie co NIS2 – taka sama jest również planowana data implementacji do prawa krajowego państw członkowskich. Zawarte w niej przepisy mogą dotyczyć zarówno podmiotów publicznych, jak i prywatnych, wprowadza ona jednak nową kategorię – podmiotów krytycznych o szczególnym znaczeniu europejskim. Przepisy nakładają na państwa obowiązek identyfikacji podmiotów krytycznych, a na same takie podmioty wymóg stosowania dodatkowych środków technicznych i organizacyjnych, które w sposób proporcjonalny mają gwarantować ochronę przed incydentami cyberbezpieczeństwa.

Nieco później wejdzie w życie akt CRA (na razie jest to projekt) – pierwszy, który zajmuje się cyberbezpieczeństwem produktów zawierających elementy cyfrowe – w tym rozumieniu są nimi wszystkie urządzenia połączone z siecią. Ma on regulować projektowanie i wytwarzanie urządzeń w taki sposób, aby chronić firmy i klientów przed zagrożeniami cybernetycznymi – np. lukami w zabezpieczeniach lekceważonymi przez producentów. I tak producenci sprzętu i oprogramowania będą musieli zapewnić, że przez okres użytkowania produktu lub przez pięć lat po wprowadzeniu go na rynek, podatności będą usuwane. W razie wykrycia luk bezpieczeństwa producent będzie miał obowiązek natychmiast powiadomić o tym Agencję UE ds. Cyberbezpieczeństwa.

Stosowanie tych przepisów będzie miało szczególne znaczenie dla firm budujących własną infrastrukturę oraz oprogramowanie i osób odpowiedzialnych za ich projektowanie. Niestosowanie się do tych regulacji będzie bowiem pociągało za sobą wysokie kary finansowe.

Od finansów po sztuczną inteligencję

Wymienione wyżej regulacje są istotne, bowiem dość znacząco poszerzają listę podmiotów (w tym firm prywatnych i instytucji publicznych), które już teraz muszą zająć się wdrażaniem strategii cyberbezpieczeństwa. Jednocześnie mogą to być podmioty z dużym długiem technologicznym, operujące w obszarach, w których technologie cyfrowe dotąd nie były kluczowe (jak np. branża spożywcza, czy usługi publiczne). To stawia przed menedżerami zajmującymi się nowymi technologiami (CIO czy CISO) nadzwyczaj trudne wyzwanie dostosowania obecnie działających systemów do nowych przepisów.

Ale zmiany dotyczą również sektorów bardzo zaawansowanych technologicznie, które od lat podlegają skomplikowanym regulacjom w tym zakresie, takich jak finanse i ubezpieczenia. W tym obszarze kluczowa jest regulacja DORA w sprawie odporności cyfrowej sektora finansowego. Obejmuje ona swym zasięgiem nie tylko banki, instytucje kredytowe, firmy ubezpieczeniowe, instytucje pieniądza elektronicznego, firmy inwestycyjne czy wreszcie firmy audytorskie, ale również (a może przede wszystkim) dostawców usług ICT dla takich instytucji. Podobnie jak w przypadku wymienionych wcześniej przepisów, również DORA nakłada nowe obowiązki dotyczące zgłaszania incydentów cyberbezpieczeństwa, opracowania odpowiednich procedur czy samodzielnego testowania środowiska cyfrowego pod kątem zagrożeń.

W związku z imponującym rozwojem dużych modeli językowych i generatywnej sztucznej inteligencji wykorzystywanej w biznesie ogromne znaczenie będzie miał również przygotowywany obecnie przez Parlament Europejski akt ws. sztucznej inteligencji. W sposób niezwykle rygorystyczny zakreśla on granice stosowania AI, a co więcej – przepisy te mają obowiązywać wszystkich dostawców, niezależnie od ich siedziby, wprowadzających takie systemy na obszar Unii lub udostępniających takie usługi obywatelom UE. Dotkną one zatem praktycznie wszystkich firm wykorzystujących do świadczenia usług duże modele językowe (jak ChatGPT).

Nowe regulacje mają m.in. gwarantować przejrzystość treści wygenerowanych przez AI i ich rozpoznawalność, a także obowiązek udostępniania informacji o danych służących trenowaniu modeli sztucznej inteligencji. W zakresie cyberodporności przepisy te wyraźnie zakazują natomiast stosowania sztucznej inteligencji do rozpoznawania twarzy na obrazach z internetu lub kamer przemysłowych.

Jak się przygotować?

Czasu na wprowadzenie wszystkich niezbędnych elementów budujących cyberodporność firmy w zgodzie z wchodzącymi już wkrótce w życie przepisami jest coraz mniej. Przeanalizowanie wymogów, zbudowanie strategii, zakup sprzętu, zatrudnienie nowych specjalistów lub wyszkolenie obecnych pracowników zajmie wiele miesięcy (jeśli nie kwartałów). Inwestycje na zbudowanie systemu cyberodporności i bieżące nakłady na utrzymanie go w działaniu przekraczają możliwości finansowe małych i średnich firm. W wyniku wdrażania nowych regulacji obowiązkami takimi zostały objęte również przedsiębiorstwa mające zerowe doświadczenie w tej dziedzinie.

Odpowiedzią mogą być zewnętrzni partnerzy świadczący usługi z zakresu budowy cyberodporności. T-Mobile może m.in. sprawdzić podatność firmy na takie incydenty, uwzględniając wymogi europejskich dyrektyw oraz krajowe regulacje sektorowe, jak również przeprowadzić testy penetracyjne oraz audyty bezpieczeństwa wymagane prawem. Oferta obejmuje również udostępnianie i zarządzanie komputerami pracowników, nadzorowanie urządzeń mobilnych, monitorowanie i reagowanie na incydenty bezpieczeństwa w sieci.

Najważniejsze wnioski

Menedżerowie ds. cyberbezpieczeństwa muszą nie tylko znać obowiązujące akty prawne i zakres ich działania, ale również umieć przełożyć język prawniczy na realne działania. Prawidłowa implementacja przepisów, pozwalająca uniknąć wysokich kar i utraty zaufania partnerów, może okazać się trudna nawet dla największych podmiotów. Tu kluczowe może okazać się wsparcie zaufanego partnera spełniającego wszystkie wymogi prawne i biorącego na siebie zarządzanie infrastrukturą, urządzeniami końcowymi, kopiami bezpieczeństwa i zapasowymi centrami danych czy wreszcie centrami bezpieczeństwa prowadzącymi stały monitoring sieci.

Czasu na wprowadzenie zmian jest bardzo mało. Co należy wziąć pod uwagę:

  • Zidentyfikuj przepisy dotyczące Twojej branży i firmy. Jeżeli nie wiesz, jak to zrobić, skorzystaj z pomocy wyspecjalizowanych kancelarii prawnych.
  • „Przetłumacz” z prawnikami i specjalistami IT lub partnerami zewnętrznymi zapisy ustawowe i zalecenia na obowiązki firmy w sferze cyberbezpieczeństwa.
  • Wybierz partnera, który będzie stanowił wsparcie dla Twojej firmy od strony technologicznej.
  • Na bieżąco monitoruj projekty przepisów mogące wpływać na działalność firmy w zakresie odporności cyfrowej, stosowania AI, czy warunków przechowywania i przetwarzania danych.

[i] https://cyberpolicy.nask.pl/category/obowiazujace/dyrektywa-nis2/

[ii] https://www.pb.pl/konferencje/prawo/dyrektywa-nis-2-nowe-otwarcie-w-zakresie-cyberbezpieczenstwa-1186848

[iii] https://piit.org.pl/wp-content/uploads/2023/11/SRTCB_Poradnik_cyberbezpieczenstwa.pdf

Badanie Wrażliwości

Ten artykuł dotyczy produktu

Badanie Wrażliwości

Przejdź do produktu
Usługi Bezpieczeństwa IT

Ten artykuł dotyczy produktu

Usługi Bezpieczeństwa IT

Przejdź do produktu

Data publikacji: 26.01.2024

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail