Od 17 października 2024 roku rozpocznie swoje obowiązywanie dyrektywa NIS2. Na spełnienie nakładanych przez nią wymogów zostało zatem niespełna pół roku. To oznacza, że przeszło 160 000 firm i instytucji z 27 państw członkowskich Unii Europejskiej musi wprowadzić jak najszybciej kolejne zabezpieczenia przed cyberatakami. Tymczasem okazuje się, że część podmiotów objętych nowymi wymogami w zakresie cyberbezpieczeństwa nie zdaje sobie sprawy, że NIS2 nakłada i na nich obowiązki.

Z tego tekstu dowiesz się m.in.:

Które z sektorów są najbardziej zagrożone cyberatakami?

Jakie korzyści niesie za sobą Dyrektywa NIS2?

Co nowe przepisy będą w praktyce oznaczać dla przedsiębiorstw i podmiotów publicznych?

Zapoznanie się i zrozumienie zakresu wymagań nowej dyrektywy NIS2 jest absolutnie niezbędne dla kierownictwa firm. Przecież to oni poniosą odpowiedzialność w przypadku udowodnionych uchybień od października 2024 – podkreśla Wojciech Głażewski, dyrektor z firmy Check Point Software Technologies w Polsce.

Mając na uwadze lawinowo rosnąca ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, która jest bardzo ważna i potrzebna do ich analizy, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa, umożliwiających analizę, monitoring, raportowanie i bieżącą obsługę incydentów – mówi Wojciech Głażewski z firmy Check Point Software Technologies.

Szpitale muszą się zabezpieczać

Hakerzy coraz częściej uderzają placówki medyczne i poszukują nowych form nacisku na swoje ofiary, aby zmusić je do zapłacenia okupu. Nie tylko kradną dane, nie cofają się nawet przed blokowaniem urządzeń ratujących życie. Poziom tych zagrożeń stale rośnie, a konsekwencje mogą być bardzo poważne. Ataki mogą nie zakłócić działalność opieki zdrowotnej, spowodować straty finansowe czy doprowadzić do utraty życia w przypadku uniemożliwienia świadczenia pomocy – mówi Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software w Polsce.

Edukację, infrastrukturę krytyczna i wojskową czekają wyzwania

Dyrektywa NIS2 wprowadzi również dotkliwe kary w wysokości nawet 10 mln euro lub 2 proc. światowych obrotów dla podmiotów kluczowych, co sprawia, że powinny się nią zainteresować także zarządy objętych przepisami przedsiębiorstw. Jak podkreślają eksperci ds. cyberbezpieczeństwa , grupa ta po raz pierwszy będzie osobiście odpowiedzialna za awarie bezpieczeństwa cybernetycznego.Przed Ministrem Cyfryzacji stoi zatem zadanie pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, aby firmy i odpowiedzialne prawnie i finansowo zarządy mogły już teraz zacząć dostosowywać się do zmian. Tymczasem – jak wynika z Raportu ‘W oczekiwaniu na NIS2: stan przygotowań’ - CSO Council, EY Polska, Trend Micro – 25 proc. firm w Polsce nie ma nawet świadomości, że dyrektywa jej dotyczy, a ponad 30 proc. organizacji nie postrzega nowych regulacji jako priorytetu…Tymczasem polskie spółki, których dotyczy dyrektywa NIS2, będą miały cztery lata (do końca 2028r), na wdrożenie nowych wymogów i poddanie się pierwszemu audytowi. Nowe regulacje zaczną jednak obowiązywać wcześniej.Eksperci firmy Check Point wskazują również na najbardziej wrażliwe sektory gospodarki, które mogą być narażone na ataki cybernetyczne a podlegają nowym obowiązkom NIS2. Podkreślają jednocześnie, że blisko 38 proc. Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych. *Jednym z najbardziej zagrożonych sektorów cyberatakami jest służba zdrowia. Jak wynika z najnowszych danych firmy Check Point Research, dane pacjentów polskich szpitali i placówek medycznych stają się coraz bardziej pożądanym celem dla przestępców, którzy żądają okupu lub sprzedają informacje na czarnym rynku. W ostatnim roku liczba ataków na szpitale i instytucje medyczne wzrosła o kilkadziesiąt procent. Co tydzień hakerzy atakują sektor ochrony zdrowia 1579 razy – wynika z danych firmy Check Point.Jak wynika z raportu ENISA hakerzy najczęściej atakują europejski sektor ochrony zdrowia za pomocą ransomware (54 proc.). Kolejnym rodzajem są cyberataki związane z danymi (46 proc.), włamania (13 proc.) czy DDos (9 proc.). W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na znaną sieć laboratoriów w listopadzie 2023 r.Według danych KRD, w ciągu ostatnich sześciu miesięcy w Polsce miały miejsce dwa znaczące włamania, podczas których wyciekły informacje osobowe około 400 tysięcy Polaków. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.A zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Od początku br. NASK wykrył ponad 30 tys. cyberataków, których celem było uderzenie w naszą infrastrukturę krytyczną, kradzież informacji i działania fraudowe - mówił wiceszef cyfryzacji Paweł Olszewski. Z najnowszych danych firmy Check Point Research wynika, że najczęściej atakowanym sektorem na świecie jest tzw. edukacji (2.314 razy tygodniowo), instytucji rządowych i wojskowych (1.633) i sektor medyczny (1.579).