Nic za darmo! Cyberbezpieczeństwo musi kosztować
17 października wejdzie w życie implementacja unijnej dyrektywy NIS2 dotyczącej cyberbezpieczeństwa. Na razie szczegółów nie ma. Ci, którzy zostaną objęci nowymi regulacjami, a będzie to kilkadziesiąt tysięcy podmiotów, będą mieli pół roku na ich wdrożenie. Nie będzie to łatwy proces i należy liczyć się z dużymi kosztami.
- W obszarze ochrony zdrowia nowe regulacje implementujące europejską dyrektywę NIS2 mają objąć aż 1248 podmiotów zajmujących się opieką zdrowotną
- Przepisy będą dotyczyć podmiotów zajmujących się także produkcją substancji farmaceutycznych, importem i dystrybucją produktów leczniczych, producentów wyrobów medycznych
- Obejmą także badania naukowe w dziedzinie biotechnologii oraz laboratoria referencyjne
- Szacuje się, że koszt wdrożenia nowych przepisów w podmiotach prywatnych wyniesie od kilkudziesięciu do kilkuset tysięcy złotych
- Szacowany koszt spełnienia w ciągu roku wszystkich obowiązków nakładanych na organizacje objęte przepisami NIS2 to nawet 100 tys. rocznie
- Zgodnie z dyrektywą NIS2 to zarząd, a nie zespoły IT, ponosi odpowiedzialność za kwestie zarządzania ryzykiem technologicznym. Na niego mogą być także nakładane kary, a nie tylko na organizacje, którymi zarządzają
Sektor ochrony zdrowia
szczególnie wrażliwy
Zostały zakończone publiczne
konsultacje projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa,
który rozszerza jej stosowanie do kilkudziesięciu tysięcy podmiotów z 18 branż
zatrudniających co najmniej 50 osób lub mających co najmniej 10 mln euro
rocznego przychodu.
W obszarze ochrony zdrowia nowe regulacje mają objąć aż 1248 podmiotów zajmujących się opieką zdrowotną, produkcją substancji farmaceutycznych, importem i dystrybucją produktów leczniczych, producentów wyrobów medycznych, a nowe przepisy będą dotyczyć także badań naukowych w dziedzinie biotechnologii oraz laboratoriów referencyjnych.
Jakie obowiązki zostaną nałożone na tych, których obejmą nowe regulacje? Przede wszystkim będą musieli stworzyć systemy zarządzania bezpieczeństwem informacji (ISO 27001/ISO 22301), wdrożyć odpowiednie zabezpieczenia chroniące przed incydentami cyberbezpieczeństwa oraz rozbudowaną dokumentację dotyczącą tego obszaru.
Ile to będzie kosztować?
Podmioty, na które zostanie
nałożony obowiązek stosowania regulacji zgodnych z NIS2, będą musiały przeprowadzić
na własny koszt najpierw w ciągu roku wstępny audyt, a później powtarzać go
co dwa lata. Ich wyniki będą musiały być przekazywane organowi regulacyjnemu w
ciągu trzech dni od ich przeprowadzenia.
Ponadto nowe przepisy nakładają obowiązek rejestracji w krajowym systemie informatycznym S46, wprowadzenie zarządzania ryzykiem łańcucha dostawców usług ICT (technologii informacyjno-telekomunikacyjnych czy – mówiąc szerzej – teleinformatycznych), zapewnienie swoim pracownikom dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń.
Szacuje się, że koszt implementacji nowych przepisów w podmiotach prywatnych wyniesie od kilkudziesięciu do kilkuset tysięcy złotych, natomiast koszt spełnienia w ciągu roku wszystkich obowiązków nakładanych na podmioty nimi objęte to może być nawet 100 tys. rocznie. Będzie to ściśle kontrolowane. Zgonie z założeniami oceny skutków nowych regulacji, które przygotowało Ministerstwo Cyfryzacji, inspekcje w tym zakresie mają objąć ok. 10 proc. wszystkich nadzorowanych podmiotów.
Szczególnie bolesne finansowo będzie dostosowanie się do przepisów nowej dyrektywy dla tych podmiotów, które nie były objęte pierwszym europejskim prawem w zakresie cyberbezpieczeństwa – dyrektywą NIS1, która została przyjęta w 2016 roku, a w Polsce regulowana ustawą o krajowym systemie cyberbezpieczeństwa z lipca 2018. Będzie to się wiązało nie tylko z regularnymi szkoleniami pracowników, lecz także z zatrudnieniem nowego personelu, osób odpowiedzialnych za sprawowanie pieczy nad systemem notyfikacji zgłoszeń.
Budowanie strategii
Jak zwraca uwagę Marta Chalimoniuk-Nowak z Europejskiej Fundacji Innowacji, ze
względu na to, że wiele placówek medycznych nie posiada własnych zespołów IT i
wdrażając strategię cyberbezpieczeństwa będą musiały zaplanować koszty tego
procesu, ująć je w swoim budżecie, należy wyznaczyć osoby do jego realizacji.
– Niezwykle istotne w tym obszarze są nawyki i kultura organizacyjna. Jeżeli mówimy o cyberhigienie, to musimy mieć świadomość, że osoby, które będą korzystać z baz danych, związane z dbałością o bezpieczeństwo danych, mają też swoje nawyki. Te dobre nawyki trzeba wyrobić, a nie tylko wysyłać takich pracowników na szkolenia. Trzeba przekonać ich do tego, że na przykład uwierzytelnianie wieloskładnikowe powinno być codzienną praktyką, podobnie jak dbałość o aktualizację na bieżąco oprogramowania, także na tabletach – podkreśla ekspertka.
– Pamiętajmy o tym, że każdy system jest tak bezpieczny jak jego najsłabsze ogniwo – dodaje.
Jak zwraca uwagę Rafał Dunal, prezes zarządu CloudiMed Sp. z o.o, dodatkowym problemem będzie to, że większość z 1248 podmiotów będzie nagle i w tym samym czasie szukać usługodawców, którzy wykonają nakazane przepisami audyty, przeprowadzą aktualizacje oprogramowania, zrealizują inne konieczne procesy.
– Z mojego punktu widzenia, producenta systemów szpitalnych i gabinetowych, bardzo istotne jest to, że zostaje nałożony obowiązek na kierujących placówką – konieczność zabezpieczenia finansów na przeprowadzenie aktualizacji, audytu. Dzisiaj to IT często jest pomijane i o ile w szpitalach pieniądze na personel medyczny – lekarzy i pielęgniarki – już są, to na IT najczęściej ich nie ma. O ile w dużych miastach i w dużych szpitalach takie zespoły IT już są i są nieźle wynagradzane, to w powiatowych sytuacja jest dużo gorsza – stwierdza.
Pierwsze kroki
Jak podkreśla adwokat Michał
Czarnuch, pierwszym krokiem w kierunku nowych regulacji powinno być ustalenie
przez podmioty lecznicze, producentów wyrobów medycznych czy producentów lub dystrybutorów, czy są one objęte nowymi
przepisami. Konieczna jest dokładna analiza regulacji, aby upewnić się, czy
dany podmiot faktycznie musi się do nich dostosować.
Kolejnym etapem powinno być zrozumienie wymagań regulacyjnych, które są często skomplikowane i obejmują wiele standardów i obowiązków, takich jak: szacowanie ryzyka, zarządzanie incydentami oraz zgodność z systemami bezpieczeństwa.
– Podobne wyzwania stanowiły w pierwszym okresie regulacje dotyczące RODO, które mówiły, co należy zrobić, ale nie podawały, jak i za co. Warto się zainteresować środkami, które można pozyskać z Ministerstwa Cyfryzacji, Narodowego Funduszu Zdrowia i innych źródeł – podkreśla Michał Czarnuch, wskazując jednocześnie na istotną rolę wsparcia dla wdrożenia nowych przepisów ze strony Ministerstwa Cyfryzacji, Ministerstwa Zdrowia oraz innych instytucji, w postaci tworzenia wytycznych przetargowych i standardów.
Zwraca też uwagę na rosnącą liczbę cyberataków, w tym ataków typu ransomware, co wymaga intensyfikacji działań prewencyjnych i edukacyjnych.
– Nawet najlepsze systemy zabezpieczeń będą nieskuteczne bez odpowiednio przeszkolonego personelu, co czyni edukację kluczowym elementem strategii cyberbezpieczeństwa – podkreśla adwokat.
To zarząd, a nie dział IT
odpowiada za cyberbezpieczeństwo
Dariusz Piaścik,
Sales & Development Director w Sagenso.com – firmie, która od lat zapewnia i
wdraża różnym organizacjom ochronę przed cyberzagrożeniami zewnętrznymi i
wewnętrznymi – zwraca uwagę na to, że dyrektywa NIS2 wprowadza bardzo istotną
zmianę: mówi wprost o odpowiedzialności za cyberbezpieczeństwo podmiotu objętego
dyrektywą kadry zarządzającej.
– Zazwyczaj odpowiedzialność za cyberbezpieczeństwo do tej pory było cedowana na działy IT. Dzisiaj niewielu ma świadomość tego, że zgodnie z dyrektywą NIS2 to zarząd ponosi odpowiedzialność za kwestie zarządzania ryzykiem technologicznym. Kiedy zwracamy na to uwagę naszym klientom, szeroko otwierają się oczy ze zdziwienia prezesom, dyrektorom czy zarządowi, że to jest ich rola – zaznacza.
Zwraca też uwagę na to, że dyrektywa NIS2 przewiduje także kary nie tylko na podmioty jako organizacje, ale także bezpośrednio na ich zarząd. Jak podkreśla, może to wpłynąć na to, że działania zarządu będą bardziej odpowiedzialne.
Jak ocenia, najważniejsze w dyrektywie NIS2 jest to, żeby organizacje, na które zostaną nałożone związane z nią obowiązki, podchodziły z pełną odpowiedzialnością i świadomością do podnoszenia poziomu bezpieczeństwa na swoim podwórku.
– Nie straszmy dyrektywą NIS2. Żyjemy dzisiaj w świecie, w którym niezależnie od tego, czy jesteśmy małą firmą, średnią czy dużą korporacją, incydent bezpieczeństwa może u nas wystąpić, może zachwiać naszą ciągłością biznesową, może nawet – jeśli jesteśmy mniejszym podmiotem – spowodować nawet upadek organizacji – podkreśla Dariusz Piaścik.
Polska implementacja szersza
niż unijna dyrektywa
Jakub Kulesza, ekspert do spraw IT
Forum Prawo dla Rozwoju, zwraca uwagę na to, że takie dyrektywy jak NIS2 muszą
być wdrażane. Choć jej treść znamy już prawie od dwóch lat, to nie są znane jeszcze ostateczne treści jej implementacji do polskich przepisów – nowelizacji
ustawy o krajowym systemie cyberbezpieczeństwa. Z jednej strony wprowadzające
bardziej proaktywne podejście w obszarze cyberbezpieczeństwa, wymagające zarządzania ryzykiem, planów ciągłości usług oraz odzyskiwania zasobów, a z
drugiej strony kładące większy nacisk na edukację.
– Dyrektywa NIS2 nie jest skupiona na bezpieczeństwie samej usługi kluczowej, świadczonej przez organizację, ale jej ciężar jest skierowany na bezpieczeństwo łańcucha dostaw, produktów, usług czy procesów ICT. To, co również się zmienia, to zakres podmiotów objętych nowymi regulacjami. Poza tymi z sektorów kluczowych doszły także inne sektory, uznane za ważne – wyjaśnia.
Ekspert zwraca także uwagę na to, że sektory w NIS2 w polskiej implementacji przepisów zostały uznane jako sektory kluczowe, co dotyczy na przykład producentów wyrobów medycznych.
Podobnie zostały spłaszczone obowiązki nakładane przez dyrektywę. O ile NIS 2 wyraźnie rozdziela obowiązki podmiotów kluczowych i podmiotów ważnych, to polska implementacja to wyrównuje. Przykładem są audyty, które dla podmiotów kluczowych powinny się odbywać co dwa lata, a dla podmiotów ważnych powinny być przeprowadzane nieregularnie, jedynie w przypadku wystąpienia konkretnych sytuacji. W polskiej implementacji to zostało zrównane i na przykład producenci wyrobów medycznych będą musieli audyty przeprowadzać także co dwa lata.
Ekspert wyraża nadzieję, że ponieważ nowe regulacje, implementujące dyrektywę NIS2, ciągle są jeszcze procedowane, może się uda tak je zmienić, żeby bardziej odpowiadały temu, co przewiduje unijna dyrektywa.
Materiał przygotowano na podstawie wypowiedzi ekspertów biorących udział w webinarze zorganizowanym przez Medical Innovation Institute & BioForum.