Jednym z powodów uchwalenia nowej dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa w sprawie cyberbezpieczeństwa lub dyrektywa NIS 2) jest gwałtowny wzrost liczby cyberataków z użyciem oprogramowania typu ransomware, w których złośliwe oprogramowanie szyfruje dane i domaga się okupu za ich odblokowanie. Jeden tego rodzaju atak może negatywnie wpłynąć na cały łańcuch dostaw. Dlatego tak ważne jest, aby każdy dostawca był odpowiednio zabezpieczony pod kątem cyberbezpieczeństwa.

Zmiany te wymuszają zmianę podejścia w zarządzaniu ryzykiem. Weryfikacja kontrahentów, ocena ich praktyk w zakresie cyberbezpieczeństwa oraz możliwość przeprowadzania audytów stają się nie tylko dobrą praktyką, ale prawnym obowiązkiem. Zaniedbania w tym obszarze mogą skutkować nie tylko poważnymi incydentami, ale również dotkliwymi karami finansowymi.

Czytaj także: ​NIS2 to nie tylko dyrektywa. Kary grożą też za niestosowanie rozporządzenia

Czytaj artykuł w LEX: Skoczylas Dominika, Wzmocnienie zdolności Unii Europejskiej w zakresie cyberbezpieczeństwa – cybersolidarność w kontekście cyberzagrożeń>

Nowe obowiązki przedsiębiorców

Z tego względu podmioty objęte regulacją NIS2 muszą dbać nie tylko o własną cyberodporność, ale także weryfikować praktyki dotyczące cyberbezpieczeństwa stosowane przez dostawców produktów i usług. Zaleca się, aby środki zarządzania ryzykiem w cyberbezpieczeństwie były wyraźnie ustalone i zawarte w treści umów z bezpośrednimi dostawcami i usługodawcami. W tym kontekście szczególne znaczenie ma wybór dostawcy usług w zakresie bezpieczeństwa zajmującym się obszarami takimi jak reagowanie na incydenty, testy penetracyjne czy audyty bezpieczeństwa. Przykłady z ostatnich lat pokazują, że nawet niewielki podwykonawca może stać się punktem wyjścia dla poważnego incydentu.

W projekcie nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa na podmioty kluczowe i ważne wprost nakładany jest obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, w ramach którego stosowane będą m.in. środki techniczne i organizacyjne zapewniające bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT (ang. Information and Communication Technology - technologie informacyjno-komunikacyjne).

Czytaj także komentarz praktyczny w LEX: Makosz Iwona, Cyberbezpieczeństwo a obowiązki przedsiębiorców – porównanie NIS2 i KSC>

Jak przeprowadzić skuteczny audyt dostawcy

W praktyce oznaczać to będzie obowiązek oceny praktyk dostawców w zakresie cyberbezpieczeństwa, odpowiednie dopasowanie treści umów z nimi zawieranych oraz konieczność monitorowania potencjalnych zagrożeń. Zalecane jest oczywiście przeprowadzenie audytu dostawców, w tym w szczególności tych, którzy będą odpowiedzialni za krytyczne dostawy w organizacji. W ramach tego rodzaju audytu w pierwszej kolejności powinno się podzielić dostawców według ich istotności dla prowadzonej działalności gospodarczej, a następnie przeprowadzić ocenę ryzyka. W przypadku strategicznych partnerów warto rozważyć również audyty w siedzibie oraz testy penetracyjne (kontrolowane symulacje cyberataków). W przypadku zdecydowania się na współpracę konieczne jest zadbanie, aby umowy z dostawcami były odpowiednio skonstruowane i zawierały postanowienia dotyczące bezpieczeństwa i zgodności z NIS2.

Aby w przyszłości wybór i audyt dostawcy był ułatwiony firma objęta obowiązkami wynikającymi z NIS2 powinna opracować i wdrożyć politykę bezpieczeństwa łańcucha dostaw, w którym określone zostaną kryteria wyboru i oceny dostawców.

Niezależnie od powyższych kwestii ważne jest również wdrożenie w organizacji podstawowych praktyk dotyczących cyberhigieny. Tak samo ważne jak wybór zaufanego dostawcy jest wprowadzenie obowiązku aktualizacji oprogramowania, zarządzanie dostępem do sieci oraz przede wszystkim szerzenia wiedzy na temat cyberzagrożeń wśród pracowników.

Doświadczenia z ostatnich lat pokazują, że z reguły najsłabszym ogniwem w system cyberbezpieczeństwa jest człowiek. Poza wdrożeniem rozwiązań technicznych niezbędne staje się także właściwe przeszkolenie oraz stałe podnoszenie świadomości pracowników na zagrożenia cyberbezpieczeństwa, którzy są z reguły pierwszym celem wrogich ataków. Czasy, w których używano prostych i oczywistych sposobów ataków na system IT już dawno odeszły do lamusa. Obecne próby aktów coraz częściej odbywają się z wykorzystaniem najnowszych odkryć naukowych, choćby z dziedziny socjotechniki. Jak pokazują przykłady incydentów takich jak Petya czy Stuxnet, już jedno nieuważne kliknięcie może wywołać łańcuch zdarzeń, które mogą wywołać nieodwracalne szkody. Niezbędne zatem staje się ciągłe podnoszenie kwalifikacji pracowników, jako jednego z elementów przyszłego systemu cyberbezpieczeństwa, zabezpieczającego m.in. łańcuch dostaw.

Zobacz także szkolenie w LEX: Jakubik Mateusz, Prabucki Rafał Tomasz, Nowelizacja Krajowego Systemu Cyberbezpieczeństwa - zmiany dla przedsiębiorców>

Nowość

-10%

Nowość

Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź  

Odpowiedzialność za niewdrożenie NIS2

Brak dopełnienia obowiązków związanych z wdrożeniem NIS-2 będzie groził karą pieniężną w wysokości do 10 mln euro lub 2 proc. przychodów osiągniętych w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 tys. zł. Poza odpowiedzialnością finansową poważny incydent w zakresie cyberbezpieczeństwa może doprowadzić oczywiście do utraty zaufania klientów i negatywnego wpływu na wizerunek firmy.

Wdrożenie obowiązków wynikających z dyrektywy NIS2 będzie bez wątpienia dużym wyzwaniem dla osób zarządzających organizacjami objętymi tymi regulacjami. Ze względu na bardzo szeroki zakres nowych obowiązków należy już teraz aktywnie wdrożyć proces zapewnienia zgodności prowadzonej działalności gospodarczej z nowymi zasadami cyberbezpieczeństwa.

Pierwszym krokiem powinno być przeprowadzenie wewnętrznego audytu i weryfikacja, czy firma w ogóle podlega pod obowiązki wynikające z NIS2. W przypadku pozytywnego wyniku audytu warto zidentyfikować kluczowych dostawców, ocenić aktualne umowy pod kątem postanowień dotyczących bezpieczeństwa oraz rozpocząć budowę polityki zarządzania łańcuchem dostaw.

Równie istotne jest zaangażowanie zarówno prawników, jak i dział IT w proces dostosowania organizacji do nowych przepisów. Taka współpraca pozwoli nie tylko na skuteczne wdrożenie odpowiednich procedur, ale również na właściwe udokumentowanie działań.

Autorzy:

Michał Majnusz, radca prawny, Rödl&Partner

Alicja Szyrner, radca prawny, Rödl&Partner

Czytaj komentarz praktyczny w LEX: Makosz Iwona, Przedsiębiorca w Krajowym Systemie Cyberbezpieczeństwa – obowiązki i sankcje>