Home Biznes Czy NIS2 uratuje polskie firmy przed cyberatakami, czy tylko dołoży im papierologii?

Czy NIS2 uratuje polskie firmy przed cyberatakami, czy tylko dołoży im papierologii?

0
0
177

Na końcu tej historii jest ustawa, której… jeszcze nie ma. Ministerstwo Cyfryzacji zapowiada, że wdrożenie NIS2 przeprowadzi przez parlament do końca roku. Na papierze wygląda to jak plan. W praktyce – mamy rzeczywistość, w której cyberprzestępcy nie czekają na drugie czytanie w Sejmie.

W zeszłym roku instytucje publiczne i operatorzy infrastruktury krytycznej zgłosili 1600 cyberincydentów – wynika z danych CSIRT GOV. Dużo? Dużo. Pytanie, które wisi w powietrzu: czy gdyby NIS2 wdrożono wcześniej, ta liczba byłaby mniejsza, czy po prostu mielibyśmy lepiej opisane raporty po atakach?

Regulacje jako plaster na otwartą ranę

W teorii wszystko się zgadza. Mamy cały alfabet bezpieczeństwa: RODO, NIS2, DORA, AI Act. Mają wspierać cyfryzację i ograniczać ryzyka. Na poziomie dokumentów – brzmi to jak europejski pas bezpieczeństwa.

Problem zaczyna się w momencie zderzenia z praktyką. Polska nie jest wyjątkiem – z opóźnieniami mierzyły się też Niemcy i kilkanaście innych krajów. Prawo powstaje szybko, wdrażane jest wolno, a technologia zmienia się w międzyczasie trzy razy.

NIS2 ma objąć znacznie więcej sektorów niż dotychczas – nie tylko banki, energetykę czy telekomy, które z regulacjami żyją od lat, ale też podmioty, które nigdy wcześniej nie musiały spełniać sformalizowanych wymogów cyberbezpieczeństwa. Dla wielu firm to nie tyle „kolejna ustawa”, co cywilizacyjny przeskok: z „mamy antywirusa” do „musimy mieć strategię bezpieczeństwa”.

ENISA, europejska agencja ds. cyberbezpieczeństwa, już wiosną sygnalizowała: różnice w dojrzałości cyfrowej są ogromne. Między branżami, ale też między dużymi, regulowanymi graczami a małymi i średnimi firmami. I z tego powodu nadzór nad NIS2 na poziomie państw może być po prostu trudny.

Mówiąc bardziej po ludzku: urzędnicy będą kontrolować branże, których jeszcze nie zdążyli zrozumieć. Firmy będą wdrażać wymogi, których sensu na początku nie będą czuły. A przestępcy w tym czasie będą robić swoje.

Szpitale, gminy, MŚP – czyli „łatwy łup”

Weźmy przykład, który w informacji prasowej Palo Alto Networks wybrzmiewa najmocniej: szpitale.

Polskie placówki zdrowia wciąż często przechowują wrażliwe dane w przestarzałych, słabo zabezpieczonych systemach. Historia choroby, numery PESEL, wyniki badań – wszystko to dla zorganizowanej grupy cyberprzestępczej jest więcej warte niż niejedna baza klientów e‑sklepu.

Do tego dochodzą:

  • dziesiątki tysięcy małych i średnich firm,
  • urzędy na poziomie samorządu,
  • różne „zapomniane” systemy IT, za które ktoś kiedyś odpowiadał, ale już dawno zmienił pracę.

To są właśnie ci „łatwi do trafienia”. Nie dlatego, że są mniej ważni, tylko dlatego, że są mniej przygotowani. W świecie cyberprzestępców działa stara zasada: atakuj tam, gdzie najsłabsze ogniwo. A najsłabsze ogniwo to najczęściej ten, kto nie ma ani działu bezpieczeństwa, ani budżetu, ani świadomości, jak bardzo jest narażony.

Nowe regulacje mają te dziury uszczelnić. Problem w tym, że debata nad ostatecznym kształtem przepisów w polskim prawie wciąż trwa, a ataki – jakby nie.

Regulacje kontra rzeczywistość. Kto tu kogo dogania?

Wojciech Gołębiowski z Palo Alto Networks mówi wprost: ani same regulacje, ani samo oprogramowanie ochronne nie wystarczą.

„Ustawa jest pewnego rodzaju fundamentem. Jednakże zbudowanie szczelnego muru zależy od tego, jak firmy będą wdrażać wytyczne oraz z jakimi dostawcami rozwiązań ochronnych będą współpracować” – podkreśla.

To ważne odwrócenie perspektywy. Bo część decydentów patrzy na NIS2 jak na kolejną tabelkę do odhaczenia: spełniliśmy wymogi, mamy zgodność, możemy spokojnie spać. Tyle że w cyberbezpieczeństwie „zgodność” i „bezpieczeństwo” to dwa różne światy.

Formuła jest prosta:

  • regulacje → minimalny poziom,
  • realne bezpieczeństwo → coś znacznie więcej.

Analitycy Palo Alto Networks zwracają uwagę na jeszcze jeden mechanizm: przytłoczenie. Nadmiar wymogów i formalności może wywoływać u przedsiębiorców opór. Nie tyle wobec samej idei bezpieczeństwa, co wobec całej otoczki: audyty, sprawozdania, dokumentacja, procedury.

Efekt może być paradoksalny: im więcej przepisów, tym większa pokusa, by ich wdrożenie odwlekać w czasie – „bo to drogie, skomplikowane i zabierze ludziom czas”.

Czy NIS2 było błędem?

Nie. I tu przekaz jest jednoznaczny.

NIS2:

  • porządkuje myślenie o ryzyku,
  • wymusza traktowanie bezpieczeństwa jako części biznesu, nie „dodatku”,
  • przypomina, że cyberincydent to nie tylko problem jednej firmy, ale też jej otoczenia, a czasem całego państwa.

Jednocześnie przypadek tej dyrektywy dobrze obnaża rozdźwięk między:

  • formalną zgodnością – czyli „mamy rozwiązanie zrobione pod ustawę”,
  • rzeczywistym cyberbezpieczeństwem – czyli „rozumiemy nasze ryzyka i potrafimy na nie reagować”.

To właśnie ten rozdźwięk jest dziś najbardziej niebezpieczny. Zwłaszcza w krajach obciążonych ryzykiem geopolitycznym – takich jak Polska. Na papierze możemy mieć komplet wymogów, a w praktyce – szpital, który po udanym ataku ransomware nie jest w stanie wykonać badań, urząd, który traci dostęp do systemu ewidencji, czy firmę, która przez błąd jednego pracownika traci poufne dane.

Legislacyjny poślizg w czasach „przedednia ery kwantowej”

Jest jeszcze jeden wątek: czas.

„Każdy miesiąc opóźnienia procesu legislacyjnego może prowadzić do tego, że ustawa zaraz po uchwaleniu będzie wymagała nowelizacji” – mówi Gołębiowski.

I trudno się z tym nie zgodzić. Ustawy idą tempem prac legislacyjnych. Ataki – tempem rozwoju technologii.

W tle pojawia się pojęcie, które dotąd brzmiało jak science fiction: era kwantowa. Komputery kwantowe nie są jeszcze codziennością, ale w cyberbezpieczeństwie myśli się o nich już dziś, bo potencjalnie mogą złamać dużą część tego, co dziś uznajemy za „bezpieczne szyfrowanie”.

To nie jest opowieść o przyszłości za 50 lat. To raczej przypomnienie, że:

  • technologie ochronne,
  • modele ataków,
  • i przepisy prawa

poruszają się w trzech różnych rytmach. I jeśli legislacja będzie zawsze na końcu tego peletonu, to samo „wdrożenie dyrektywy” nie rozwiąże podstawowego problemu: braku odporności wielu organizacji.

Zero trust, czyli oficjalne prawo do braku zaufania

W całej dyskusji o NIS2 umyka jedna rzecz: część zagrożeń nie wynika z tego, że „system był źle skonfigurowany”, tylko z tego, że ktoś kliknął, otworzył, uwierzył.

Socjotechnika, phishing, manipulacja – to dziś najbardziej „ludzkie” narzędzia cyberprzestępców. I tego nie da się zapisać w ustawie. Można narzucić obowiązek szkoleń, ale nie da się zadekretować zdrowego rozsądku.

Dlatego eksperci Palo Alto Networks mówią o potrzebie systemowego podejścia:

  • nie tylko technologia,
  • nie tylko regulacje,
  • ale też zmiana sposobu myślenia.

W praktyce sprowadza się to do zasady zero trust – braku automatycznego zaufania do czegokolwiek, co przychodzi z zewnątrz: maila, pliku, połączenia, żądania dostępu. W świecie, w którym każdy może udawać kogoś innego, podstawową kompetencją staje się umiejętność zadania prostego pytania: „Czy ja na pewno powinienem to otwierać, udostępniać, zatwierdzać?”.

Dopóki nie będzie pełnego konsensusu co do regulacji obejmujących wszystkie wrażliwe podmioty, tak naprawdę zostajemy z trzema narzędziami:

  1. świadomość ryzyka,
  2. zdrowa nieufność,
  3. konsekwentne budowanie kompetencji – technicznych i ludzkich.

Ustawa nie kliknie za nas w „nie otwieraj”

Można powiedzieć tak: NIS2 jest potrzebna, bo bez niej wiele organizacji w ogóle nie ruszy z miejsca. Ale NIS2 nie zatrzyma ataku, który wykorzysta błąd jednego pracownika, przestarzały serwer czy brak procedur reagowania.

Regulacje:

  • ustawią poprzeczkę minimalną,
  • zmuszą część firm i instytucji, by potraktowały cyberbezpieczeństwo poważnie,
  • dadzą administracji narzędzia do egzekwowania wymogów.

Nie zastąpią:

  • strategicznego zarządzania ryzykiem,
  • inwestycji w kompetencje ludzi,
  • i decyzji, by bezpieczeństwo było elementem modelu działania, a nie tylko kosztem wpisanym w budżet.

Patrząc na 1600 zgłoszonych incydentów, ryzyko geopolityczne i rosnącą atrakcyjność polskich danych dla cyberprzestępców, jedno jest dość jasne:
na samo „wdrożenie NIS2 do końca roku” zwyczajnie nas nie stać. Ustawa może być fundamentem. Mur i tak będziemy musieli zbudować własnymi rękami.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…