ENERGIA OFFSHORE. Rewolucja w cyberbezpieczeństwie, czyli dyrektywa NIS2
Dyrektywa NIS2 to rozwiązania dotyczące cyberbezpieczeństwa sieci i systemów informatycznych, które mają na celu wzmocnienie ich poziomu bezpieczeństwa. Obecnie trwają prace legislacyjne nad ustawą, która ma wdrożyć jej przepisy w uaktualnionej wersji w życie. Czym jest Dyrektywa NIS2 i jakie obowiązki i konsekwencje niesie za sobą dla przedsiębiorców?
NIS2, czyli jeden z najważniejszych tematów dla logistyki w roku 2025
Wdrożenie każdych nowych przepisów przez przedsiębiorców wymaga odpowiedniego przygotowania i postępowania. Jak firmy podchodzą do implementacji rozwiązań z dyrektywy NIS2?
– Dyrektywa NIS 2 wprowadza wymagania i zasady związane z cyberbezpieczeństwem, które są narzucane przez prawodawcę na firmy w wielu sektorach, w tym morskiej. Obecnie jesteśmy na etapie prac legislacyjnych nad wdrożeniem tej ustawy do naszego porządku prawnego w wyniku czego firmy będą zobowiązane do tego, aby wdrożyć je w przeciągu pół roku od wejścia w życie. Przedsiębiorcy powinni już o tym myśleć, gdyż gdy będą chcieli brać udział w łańcuchu dostaw międzynarodowych to będą musieli legitymować się z tego, że wdrożyły te rozwiązania – mówi Mecenas Rafał Malujda.
– Wszystko zależy od branży. Są sektory, w których wymagania te są już spełnione jak chociażby bankowy. Są natomiast takie, w których trwają prace przygotowawcze. Rozwiązania, które będą musiały zostać wdrożone przez przedsiębiorców będą wymagały dużej wiedzy i zaplecza, dlatego przede wszystkim podmioty pracujące nad tym muszą mieć świadomość i zrozumieć istniejące ryzyka przed którymi będą się chronić– mówi Marcin Szulga z Asseco Data System.
Branża transportowa i logistyczna jest jedną z wielu, które muszą wdrożyć procesy określone w dyrektywie. Czy wprowadzenie rozwiązań wymaganych przez NIS2 można uznać za pilnowanie łańcucha dostaw, ale w wersji nie fizycznej, a w wirtualnej?
– Globalnie miały już miejsce sytuacje, że łańcuchy dostaw były zrywane przez ataki i później przez długi czas odbudowywane, co pokazuje, że informacje trzeba wymieniać drogą elektroniczną i dbać o ich bezpieczeństwo. Niesie to za sobą pozytywne skutki jak optymalizacja procesów, ale także negatywne, czyli wzmożone narażenie na atak i utratę danych. Uważam więc, że rozwiązania, które niosą za sobą zwiększenie bezpieczeństwa to bardzo ważny kierunek, tylko na tą chwilę te informacje odnośnie wymagań są bardzo ogólne i mogą nie przekładać się na bezpieczeństwo, które jest celem dyrektywy NIS2. W CSL wdrażamy tak naprawdę od wielu lat rozwiązania mające na celu cyberbezpieczeństwo, gdyż przy współpracy na arenie międzynarodowej bezpieczeństwo w tym aspekcie jest priorytetem – mówi Przemysław Hołowacz, Dyrektor ds. Rozwoju Biznesu CSL Sp. z o.o.
Najpierw audyt, a potem wdrożenie działań. Często potrzebne są rozwiązania „szyte na miarę”
O tym, że wiele różnych branż zostanie objętych wymaganiami z dyrektywy NIS2 już zostało wspomniane, ale w zależności od sektora i kierunku działalności danych przedsiębiorstw wdrażane procesy i rozwiązania będą się różnić, także te dla samej branży Offshore. Jakie więc konkretne obowiązki dla sektora TSL są wymagane, aby można było powiedzieć, że spełnia te z dyrektywy NIS2?
– W dużym skrócie firmy muszą zacząć od audytu, czyli zrewidować co mają już wdrożone, a czego im brakuje. Potem muszą przeanalizować dokumentacje i przypisać role pracowników ze szczególnym naciskiem na role i odpowiedzialność zarządu, potem pod lupę trzeba wziąć także systemy, z których korzystamy i ich poziom bezpieczeństwa, a następnie krok po kroku trzeba wprowadzać wymagania w życie. Lecz przede wszystkim bardzo ważne jest, aby każdy przedsiębiorca zadał sobie pytanie po co właściwie wdraża te rozwiązania, bo od tego na jakim poziomie dana organizacja będzie miała cyberbezpieczeństwo, może zależeć jej przyszłość – mówi Mec. Rafał Malujda
Każde przedsiębiorstwo jest na innym poziomie rozwojowym i posiada inne zaplecze i może się okazać w rzeczywistości, że niektóre z nich, z różnych przyczyn nie są w stanie na czas spełnić wymagań z dyrektywy. Jakie konsekwencje są przewidziane dla takich firm, które nie wdrożą, albo nie dopilnują zasad związanych z cyberbezpieczeństwem?
– Pierwsza rzecz to możliwa utrata danych oraz to czy i w jakim czasie je odzyskamy. Druga sprawa to reputacja i relacje z klientami. Atak może skutkować tym, że nie tylko my będziemy narażeni na straty, ale właśnie także nasi klienci czy partnerzy biznesowi, których informacje i dane mogą zostać ujawnione – mówi Przemysław Hołowacz.
– Po ataku bardzo często następuje ogromny odpływ klientów i czas odbudowywania zasobów jest bardzo długi czego często konsekwencją jest nieodwracalna strata pozycji na rynku, nawet do tego stopnia, że nowe podmioty zajmują nasze miejsce – mówi Marcin Szulga.
Już niedługo przedsiębiorcy będą musieli wykazać, że wdrożyli wymagane rozwiązania i procesy, dlatego warto, aby zarówno ze względu na możliwe konsekwencje prawne i finansowe jak i dotyczące przede wszystkim realnego bezpieczeństwa nie zwlekać i intensywnie opracowywać strategie implementacji wymagań dyrektywy.
ZOBACZ PROGRAM: