Europa jest nadal narażona na cyberataki, które stanowią wyzwanie dla firm. W celu poprawy bezpieczeństwa w sieci, Unia Europejska wprowadziła nową dyrektywę, która zaostrza wymagania w zakresie funkcjonowania biznesu w cyberprzestrzeni. Przedsiębiorcy mają maksymalnie kilkanaście miesięcy na dostosowanie się do tych nowych standardów, aby uchronić się przed skutkami cyberataków.
W dzisiejszych czasach prowadzenie biznesu jest pełne wyzwań i niespodzianek. Od wybuchu pandemii po wojnę na Ukrainie, od inflacji do ataków cyberprzestępców, którzy coraz częściej celują w małe i średnie przedsiębiorstwa, przedsiębiorcy muszą być elastyczni i gotowi na wszystko.
Unia Europejska i państwa członkowskie UE zdają sobie sprawę z zagrożenia, jakie stanowią działania hakerów oraz potencjalne skutki sabotowania czy wybuchu szerszego konfliktu zbrojnego. Z tego powodu zdecydowano się na zastąpienie dotychczasowej dyrektywy NIS nową wersją, która obejmuje szerszy zakres podmiotów i wprowadza znacznie dotkliwsze kary dla firm niedostosowanych do wymagań UE.
NIS2 wprowadza wymogi w zakresie ochrony i zarządzania ryzykiem danych, które mają na celu poprawę bezpieczeństwa przedsiębiorstw i innych podmiotów działających na obszarze Unii Europejskiej. W ramach dyrektywy, państwa członkowskie muszą wdrożyć między innymi krajową strategię cyberbezpieczeństwa oraz przepisy dotyczące zarządzania ryzykiem i raportowania. Dzięki tym regulacjom, przedsiębiorstwa mogą poprawić bezpieczeństwo i ochronę danych, które są niezbędne do prowadzenia ich działalności.
Dyrektywa nakłada na europejskie firmy obowiązek stworzenia własnego systemu zarządzania ciągłością działania, aby w razie sytuacji kryzysowej nie doszło do paraliżu gospodarczego państw członkowskich. Posiadanie własnego Business Continuity Plan (BCP) oraz weryfikacja go przez instytucje lub służby ma zapewnić UE poczucie bezpieczeństwa, a także zapobiec panice i obniżeniu zdolności obronnych kontynentu.
NIS2 dotyczy zarówno podmiotów kluczowych, takich jak firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki, jak również podmiotów istotnych, dla których nie były dotychczas stosowane rygorystyczne regulacje. W związku z tym, każda firma, niezależnie od jej wielkości i branży, powinna sprawdzić, czy podlega przepisom unijnej dyrektywy NIS2, pomimo tego, że nie spełnia wymogów sektorowych lub tych związanych z wielkością przychodów czy zatrudnieniem.
Dyrektywa NIS2 wymusza na niektórych podmiotach, takich jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną, przestrzeganie określonych zasad. Ponadto, z uwagi na koncepcję odpowiedzialności w łańcuchu dostaw, nawet mniejsze przedsiębiorstwa dostarczające usługi sektorom objętym NIS2, muszą być zobowiązane do przestrzegania jego postanowień. Aby skłonić podmioty do przestrzegania tych zasad, przewidziano wysokie kary finansowe – w wyjątkowych przypadkach, sięgające nawet 10 milionów euro. Tego rodzaju sankcje, choć mające na celu zapewnienie bezpieczeństwa systemów IT, niosą ze sobą istotne ryzyko dla polskich przedsiębiorców, których jest obecnie ponad dwa miliony, tworząc 6,8 mln miejsc pracy i generując ponad połowę całego PKB kraju.
Firmy polskie i europejskie przystąpiły więc do działania, aby przygotować się do wdrożenia wymaganych zmian w swoich funkcjonowaniu. Wejście w życie NIS2 ma miejsce 16 stycznia 2023 roku, a państwa członkowskie mają 21 miesięcy na wprowadzenie postanowień dyrektywy do prawa krajowego. Oznacza to, że Polska powinna osiągnąć zgodność z NIS2 do 17 października 2024 roku, jednak ze względu na trwający konflikt zbrojny i stale rosnącą liczbę cyberataków, rząd może przyspieszyć ścieżkę legislacyjną.
Przedsiębiorcy muszą poradzić sobie z dwoma podstawowymi wyzwaniami. Jednym z nich jest wykonanie olbrzymich nakładów finansowych na rozbudowę i modernizację własnych działów IT. Według ekspertów, wydatki na system monitorowania i analizy cyberzagrożeń oraz odpowiednio wykwalifikowany i doświadczony zespół, wahać się będą w granicach 3 milionów złotych rocznie – a wraz z inflacją oraz rosnącymi wynagrodzeniami, będą stale wzrastać. Mimo to, w ciągu ostatnich lat, firmy starają się wybierać raczej opcje oszczędnościowe, niż zainwestowanie dodatkowych środków.
Przedsiębiorstwa są zobowiązane do przestrzegania wymogów dyrektywy UE dotyczących ciągłości działania i cyfrowej ochrony. Przedsiębiorstwa muszą zatem zapewnić, że ich strategia ciągłości działania i cyfrowa ochrona są dostosowane do wszystkich komponentów i ram wymaganych przez dyrektywę. Chcąc uniknąć nieprzyjemnych konsekwencji, lepiej jest wykorzystać wszystkie dostępne narzędzia technologiczne i rynkowe, aby osiągnąć optymalne przygotowanie na kryzysy i incydenty.
Dziś aż 2/3 organizacji w Polsce wybiera skorzystanie z usług profesjonalnych firm zewnętrznych, często wiodących operatorów telekomunikacyjnych, aby zaopatrzyć się w zaawansowane zaplecze techniczne i doświadczoną kadrę. To znaczny wzrost w stosunku do ubiegłego roku, kiedy to tylko nieco ponad połowa przedsiębiorstw uznała, że będzie współpracować z zewnętrznymi dostawcami bezpieczeństwa. W większości przypadków firmy decydują się na outsoursing całościowy, a ta tendencja jest stale rosnąca.
DRaaS (ang. Disaster Recovery as a Service) to model usług chmurowych, który umożliwia tworzenie kopii infrastruktury IT organizacji w środowisku cloud, zapewnianym przez dostawcę. Innowacyjne rozwiązania DRaaS zapewniają nie tylko odpowiednie zabezpieczenie danych w razie awarii, ale także gwarantują płynne przełączanie się pomiędzy centrami danych, nie wpływając na wygodę użytkowania.
Centra Przetwarzania Danych są coraz częściej wybieranym rozwiązaniem do przechowywania danych. To rozwiązanie zapewnia firmom oszczędność czasu i pieniędzy, ponieważ zamiast inwestować w nowoczesną infrastrukturę i wyszukiwać odpowiednich pracowników, mogą po prostu przesłać swoje dane do osobistego przechowywania i zarządzania przez wykwalifikowanych inżynierów. Co więcej, dzięki temu procesowi możliwe jest szybkie przywrócenie działania firmy w razie awarii lub ataku hakerskiego.
Aby osiągnąć najwyższy poziom bezpieczeństwa cyfrowego, eksperci zalecają włączenie w proces stałego szkolenia pracowników, inwestycje w ich kompetencje oraz regularne audyty bezpieczeństwa. Działania te zapewnią nie tylko wymagane przez dyrektywę NIS2 dostosowanie do europejskiego rynku, lecz także zapewnią zarówno firmom, jak i ich pracownikom i klientom odpowiedni poziom bezpieczeństwa.
Źródło wiadomości: pap-mediaroom.pl
