7 marca spotkaliśmy się po raz pierwszy w 2023 roku w gronie Chief Security Officerów w ramach społeczności CSO Council, aby porozmawiać o najgorętszym obecnie temacie – dyrektywie NIS2 i jej wpływie na funkcjonowanie przedsiębiorstw. Nowa dyrektywa zmieni branżę cybersecurity, przeniesie wiele pracy, ale także daje nadzieję, na zmianę rzeczywistych priorytetów jeśli chodzi o temat cyberbezpieczeństwa w wielu przedsiębiorstwach.
Spotkanie rozpoczęli jego gospodarze: Patryk Gęborys, Cyber Security Lead oraz Leszek Mróz, Partner w EY. Przedstawili oni otoczenie regulacyjne, w którym obecnie funkcjonujemy i to, co w nim zmieni NIS2. Dla wielu podmiotów NIS2 niesie ważne zmiany. W zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy. Państwa członkowskie nie powinny być zobowiązane do ustanowienia wykazu podmiotów, które spełniają kryterium związane z wielkością. To szalenie istotna różnica względem obecnie obowiązujących przepisów, gdzie podmioty są powoływane przez odpowiednie instytucje do pełnienia roli OUK. Teraz przedsiębiorstwa będą podlegały ustawie niejako z automatu.
Ważne kwestie związane z nowymi wymaganiami dotycząc konsekwencji ich niedopełnienia – te będą dużo, dużo większe niż obecnie, a za niedopełnienie obowiązków będą groziły dotkliwe kary finansowe – nawet większe od tych wynikających z przepisów RODO.
Drugą prezentację wygłosiła doskonale wszystkim znana Joanna Dąbrowska, ekspertka i inżynier w Trend Micro, która na bazie zmian wynikających z NIS2 pokazała, jak należy podejść do tematu zarządzania ryzykiem incydentami. Obecnie powszechne podejście uwzględnia ledwie wierzchołek góry lodowej, jaką są wyzwania związane z cyberbezpieczeństwem. Nowe podejście będzie wymagało ujęcia ryzyka w dużo bardziej dogłębnie, patrząc na wszystkie procesy i zasoby organizacji. W dalszej części Joanna omówiła kwestie ciągłej analizy i raportowania, czyli jednego z nowych wymogów wynikających wprost z NIS2 – to kolejna ważne wyzwanie dla wielu organizacji, które proces oceny ryzyka wykonują jednorazowo lub w interwałach.
Ważnym aspektem oceny ryzyka jest właściwa priorytetyzacja badanych obszarów i wpływ potencjalnego incydentu na funkcjonowanie organizacji.
Część prezentacyjną zamknęła dyskusja panelowa, którą poprowadził Przemysław Gamdzyk, a jego gośćmi byli przedstawiciele podmiotów, które w świetle przepisów dyrektywy NIS2 będą objęte regulacjami: Piotr Albrecht, Security Officer, DPD, Daniel Grudzień, Kierownik Działu Bezpieczeństwa Informacji, Adamed, Jacek Skorupka, Global cybersecurity director, Medicover oraz
Marek Kuczyński, Szef Biura Ochrony Informacji, Grupa Azoty Puławy reprezentując podmiot już regulacjami objęty, ale szykujący się na wdrożenie nowej dyrektywy.
Dla wszystkich menedżerów cyberbezpieczestwa z podmiotów, które będą podlegać NIS2, najbliższe lata to okres wytężonej pracy. Niektórzy zastanawiają się, czy wystarczy budżetów, a przede wszystkim kompetentnej kadry, by przygotować wszystkie organizacje. Stąd w środowisku zrodził się postulat, by spróbować zminimalizować obszar pracy i przygotowań, który niejako może zostać zrobiony wspólnie, bez potrzeby multiplikowania go w poszczególnych organizacjach. Dyskusji – a właściwie to dyskusjom – bo czasu wystarczyło również na dyskusje w podgrupach animowanych przez członków Rady CSO Council – towarzyszyły emocje i rzeczywiste zaangażowanie uczestników. Widać było, że NIS2 to kluczowe wyzwanie, w którym potrzebne jest mądre przywództwo i odpowiedzialne planowanie w cyber, ale także racjonalne i przewidywalnie wsparcie ze strony właściwych agend państwowych.