Dyrektywa NIS2. Za nieprzestrzeganie przepisów grożą kary do 10 milionów Euro

Przeczytaj także: Dyrektywa NIS2 odpowiedzią na rosnące zagrożenie atakami hakerskimi

Dyrektywa NIS2 obejmie wszystkie średnie i duże podmioty działające w sektorach, których dotyczy regulacja – m.in. energetyki, transportu, telekomunikacji, dostawców danych, platformy mediów społecznościowych i dostawców centrów danych i ochrony zdrowia.

Szpitale muszą się zabezpieczać

Tymczasem służba zdrowia to szczególnie wrażliwy sektor, narażonych w ostatnim czasie na cyberataki. Jak wynika z najnowszych danych firmy Check Point Research, w ostatnim roku liczba ataków na szpitale i instytucje medyczne wzrosła o 60%. Co tydzień hakerzy atakują sektor ochrony zdrowia 1669 razy. W swoim najnowszym raporcie dotyczącym bezpieczeństwa firma Check Point podkreślała, że głównym powodem ataków na sektor medyczny jest chęć uzyskania dostępu do danych pacjentów, cennej dokumentacji medycznej lub obecności w mediach.

W zeszłym roku byliśmy świadkami ataku na Instytut Centrum Zdrowia Matki Polki w Łodzi, który doprowadził do wyłączenia wszystkich systemów informatycznych. Szpital nadal przyjmował pacjentów, ale w ciągu kilku chwil hakerzy zmusili personel do pracy w warunkach sprzed 30 lat, gdy nie wdrożono jeszcze systemów teleinformatycznych. Na szczęście nie doprowadziło to do bezpośredniego zagrożenia życia pacjentów.

Wiele organizacji opieki zdrowotnej posiada dobre zarządzanie ryzykiem, ale brakuje im skonsolidowanej, opartej na współpracy i kompleksowej polityki cyberbezpieczeństwa, która zapewniałaby prawdziwą odporność na cyberzagrożenia. Jednocześnie poziom tych zagrożeń stale rośnie, a konsekwencje mogą być coraz to poważniejsze. Ataki mogą nie zakłócić działalność opieki zdrowotnej, spowodować straty finansowe czy doprowadzić do utraty życia w przypadku uniemożliwienia świadczenia pomocy – mówi Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software w Polsce.

W opinii ekspertów w zeszłym roku w wyniku ataków hakerskich szpitale straciły prawie 40 proc. danych. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.

Wprowadzenie w życie dyrektywy NIS2 staje się dla polskich firm wyzwaniem technologicznym, odnoszącym się bowiem również do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów z określonymi kompetencjami. A tych na polskim rynku brakuje. Jak wynika z danych Polskiego Instytutu Ekonomicznego w Polsce brakuje prawie 150 tysięcy pracowników sektora IT. Z analiz wynika, że 20 proc. firm z branży musiała odmawiać przyjęcia projektu właśnie ze względu na brak specjalistów koniecznych do jego wykonania. Jeszcze bardziej pesymistyczne dane przedstawiła w marcu br. Organizacja Pracodawców i Usług IT SoDa, informując, że w Polsce brakuje 250 – 300 tys. specjalistów IT…. Powód - pracodawcy nie inwestują w rozwój pracowników.

Fabryki, elektrownie, wodociągi, a także banki czy szpitale czekają spore zmiany

Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.

A zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Z najnowszych danych firmy Check Point Research (30.03.2023) wynika, że najczęściej atakowanym sektorem w Polsce jest tzw. branża krytycznej infrastruktury i użyteczności publicznej (3670 razy tygodniowo). Na drugim miejscu pod tym kątem znajduje się sektor finansów i bankowości (1216) a na trzecim instytucje rządowe (1080). Sektor zdrowia na świecie jest trzecim najczęściej atakowanym (1669 razy tygodniowo).

Co nowa dyrektywa NIS2 będzie w praktyce oznaczać dla przedsiębiorstw i podmiotów publicznych?

Przede wszystkim obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka.

Wyzwaniem stanie się nie tylko odpowiednia liczba specjalistów, lecz obowiązek posiadania najnowszych systemów zabezpieczeń aktualnych do stanu wiedzy i proporcjonalnych do ryzyka związanego z konkretną działalnością oraz „konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu”.

 Mając na uwadze lawinowo rosnąca ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, która jest bardzo ważna i potrzebna do ich analizy, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa, umożliwiających analizę, monitoring, raportowanie i bieżącą obsługę incydentów – mówi Wojciech Głażewski z firmy Check Point Software Technologies.

Ekspert wskazuje, że stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Za nieprzestrzeganie przepisów grożą bowiem wysokie grzywny – nawet do 10 milionów Euro lub 2 proc. globalnych obrotów. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek.

źródło: EU NIS2 Directive – New law for SME enterprises za: https://eur-lex.europa.eu/eli/dir/2022/2555/oj