Cyberbezpieczeństwo i wdrożenie dyrektywy NIS2 w samorządzie i branży gospodarki komunalnej

Efektem transformacji cyfrowej, oprócz informatyzacji administracji publicznej czy cyfryzacji sektora prywatnego, jest intensyfikacja cyberzagrożeń. Według Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2022 r., przygotowanego przez Agencję Bezpieczeństwa Wewnętrznego, w Polsce odnotowano łącznie 1 234 040 zgłoszeń o cyberatakach. Tylko w maju br. liczba cyberataków na polskie firmy wzrosła pięciokrotnie w porównaniu z poprzednim rokiem, o czym świadczą najnowsze dane ESET. W reakcji na ten stan rzeczy, w 2023 r. weszła w życie Dyrektywa NIS2, która zmieni kształt cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej, w tym w Polsce.

Dyrektywa NIS2 w szczególe

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 tzw. dyrektywa NIS 2 ustanawia nowe regulacje prawne w zakresie wzmocnienia poziomu cyberbezpieczeństwa całej Unii Europejskiej (w tym cyberbezpieczeństwa sieci i systemów informatycznych wykorzystywanych do świadczenia usług na odległość). 

– Dyrektywa NIS2 wyznacza skoordynowane ramy w materii cyberbezpieczeństwa, m.in. określa środki zarządzania ryzykiem w cyberbezpieczeństwie, obowiązki w zakresie zgłaszania incydentów, wymiany informacji o cyberbezpieczeństwie czy w zakresie nadzoru i egzekwowania przepisów. Warto odnotować, że dokonuje również rozszerzenia i kategoryzacji podmiotów na kluczowe i ważne. – informuje dr Dominika Skoczylas, Adiunkt na Wydziale Prawa i Administracji Uniwersytetu Szczecińskiego. Czas na wdrożenie Dyrektywy NIS2 upływa 17 października 2024 r.

– W związku z tym planowana jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Niezbędna jest także aktualizacja zasad dotyczących cyberbezpieczeństwa we właściwych sektorach – w celu osiągnięcia podstawowych wymogów cyberbezpieczeństwa określonych w dyrektywie NIS2 (podniesienie poziomu cyberodporności). Bez wątpienia obecnie cyberbezpieczeństwo stanowi determinantę rozwoju społeczno-gospodarczego – dopowiada dr Skoczylas. Należy dodać, że zgodnie z art. 5 dyrektywy NIS 2, niniejsza dyrektywa nie uniemożliwia państwom członkowskim przyjęcia lub utrzymania przepisów zapewniających wyższy poziom cyberbezpieczeństwa, pod warunkiem że takie przepisy są spójne z obowiązkami państw członkowskich, ustanowionymi w prawie Unii (harmonizacja minimalna).

Raportowanie incydentów

Według szacunków PwC, NIS2 obejmie ponad 6000 podmiotów działających w 18 sektorach gospodarki w Polsce. Na podmioty objęte Dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. Dyrektywa NIS2 precyzuje także zapisy w zakresie raportowania incydentów. Wprowadza również odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie. – Jednostki samorządu terytorialnego i sektor komunalny muszą przygotować się na znaczące zmiany w zakresie cyberbezpieczeństwa swoich organizacji – wskazuje dr Dominika Skoczylas.

Istota szkoleń

Oprócz stricte formalnoprawnych kwestii, języczkiem u wagi są kompetencje i umiejętności cyfrowe, szkolenia i kursy z zakresu cyberbezpieczeństwa oraz problematyka cyberhigieny użytkowników sieci. Wychodząc naprzeciw tym okolicznościom, redakcja miesięcznika “Przegląd Komunalny” zaplanowała szkolenie online: “Cyberbezpieczeństwo jako kluczowe zadanie jednostek samorządu terytorialnego. Prawne i praktyczne aspekty wdrożenia Dyrektywy NIS2”, które odbędzie się 24 września. Dzięki niemu uczestnicy dowiedzą się m.in.

• jakie są najważniejsze regulacje prawne w zakresie informatyzacji usług publicznych i cyberbezpieczeństwa,
• jakie są najważniejsze zmiany wynikające z wdrożenia Dyrektywy NIS2,
• jak określono obowiązki podmiotów kluczowych i ważnych w Dyrektywie NIS2,
• jak scharakteryzować, analizować, klasyfikować incydenty i cyberzagrożenia,
• jakie obowiązki w zakresie zgłaszania incydentów ustalono w Dyrektywie NIS2,
• jak ważna jest polityka cyberbezpieczeństwa dla podmiotów korzystających z zasobów cyberprzestrzeni.

Szczegółowy zakres szkolenia i zapisy dostępne na stronie: cyberbezpieczenstwo.abrys.pl.