NIS2, DORA i EZD: Jak przygotować się na nowe standardy cyberbezpieczeństwa?

Przeczytaj także: NIS2, DORA i AI Act weszły już w życie. Czy to koniec wyzwań dla zespołów compliance i cybersec?

NIS2 i ustawa o Krajowym Systemie Cyberbezpieczeństwa coraz bliżej

Po ubiegłorocznym ogłoszeniu projektu nowelizacji ustawy oraz przeprowadzonych konsultacjach zbliża się koniec etapu prac legislacyjnych nad tym kluczowym aktem prawnym. To ostatni moment, aby podjąć działania – zwłaszcza że, jak oceniają eksperci, przestępcy będą chcieli maksymalnie wykorzystać zaistniałą sytuację. Jednocześnie wciąż wielu podmiotom nie udało się wprowadzić rozwiązań zgodnych z nowymi obowiązkami. Eksperci ostrzegają, że zwłoka, zwłaszcza w zakresie dostosowania procedur i wdrożenia zabezpieczeń, może prowadzić do poważnych strat.

Głównym obszarem zainteresowania przestępców pozostanie jeszcze niezabezpieczona infrastruktura krytyczna oraz przedsiębiorstwa i instytucje, które zgodnie z założeniami nowelizacji ustawy można zaliczyć do kategorii ważnych, czyli te działające np. w branży produkcji i dystrybucji chemikaliów, żywności czy elektroniki. Dla tych branż aktualnie nie są przewidziane dodatkowe środki z UE na podniesienie cyberodporności, a to może oznaczać, że cześć przedsiębiorstw będzie niewystarczająco zabezpieczona. Przestępcy mają tego świadomość i z pewnością będą starać się wykorzystać tę słabość – mówi Piotr Zielaskiewicz, menadżer w DAGMA Bezpieczeństwo IT.

Podnoszenie poziomu bezpieczeństwa jak dobra polisa ubezpieczeniowa

Implementacja nowych regulacji, obok NIS2 i DORA także Cyber Resilience Act, pomoże uporządkować kwestie związane z ochroną kluczowych zasobów gospodarki. Standaryzacja procedur i zaufanie certyfikowanym europejskim rozwiązaniom mogą być kluczowe, aby sprostać wymaganiom. Choć wydatki na cyberbezpieczeństwo można porównać do wykupu polisy ubezpieczeniowej – ich wartość nie zawsze jest doceniana na pierwszy rzut oka, jednak perspektywa zmienia się w obliczu zagrożenia.

Odpowiednie inwestycje w zabezpieczenia cyfrowe mogą zaoszczędzić firmom miliony, zarówno w wymiarze finansowym, reputacyjnym czy w związku z koniecznością wypłaty odszkodowań. Działania te powinny być integralną częścią długoterminowej strategii, pozwalając uniknąć znacznie wyższych kosztów związanych z cyberatakami i wyciekami danych – komentuje Aleksander Kostuch, ekspert Stormshield, producenta rozwiązań z obszaru bezpieczeństwa IT.

CrowdStrike pokazał jakie mogą być skutki incydentu

Duża zależność pomiędzy firmami z różnych sektorów i obszarem IT była widoczna, gdy na skutek lipcowej awarii CrowdStrike, problemów z dostępnością swoich usług doświadczyły m.in. banki, operatorzy lotniczy czy szpitale. Pozornie prosty błąd spowodował globalny chaos i straty liczone w miliardach dolarów, będąc przy okazji niezwykle cenną lekcją dla przestępców.

Minimalizacji prawdopodobieństwa wystąpienia takiego zamieszania, spowodowanego wrogimi działaniami w obszarze IT, dotyczą Rozporządzenie Parlamentu Europejskiego i Rady z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i Rozporządzenie DORA (Digital Operational Resilience Act). Ich celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. To przełom w podejściu do zarządzania ryzykiem ICT w sektorze finansowym, w którym wszelkie incydenty mają szczególne znaczenie. Kluczowe w nich są zaufanie i reputacja, które tego typu zdarzenia obniżają.

Rozporządzenie DORA wprowadza obowiązki dla wszystkich podmiotów sektora finansowego, od banków i ubezpieczycieli, przez fundusze inwestycyjne po dostawców usług ICT. Kluczowe wymogi dotyczą zarządzania ryzykiem operacyjnym i cyberbezpieczeństwem. Instytucje są zobowiązane nie tylko do wdrożenia odpowiednich procedur w tych obszarach, lecz także do prowadzenia rejestru zewnętrznych dostawców usług ICT, zawierającego informacje o charakterystyce świadczonych usług i ocenie ryzyka. Dodatkowo, konieczne jest przeznaczenie odpowiednich zasobów budżetowych i kadrowych, a także regularne szkolenie personelu – wyjaśnia Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT.

Założeniem rozporządzenia jest m.in. prowadzenie stałych, regularnych przeglądów, raportowanie i zgłoszenia incydentów. DORA nakłada na instytucje finansowe także konieczność monitorowania dostawców zewnętrznych.

To oznacza między innymi stały monitoring podatności rozwiązań, które są już zaimplementowane. Jeśli ich dostawca często publikuje podatności, to warto rozważyć jego zmianę, by pozostawienie takiego „konia trojańskiego” nie narażało instytucji na kompromitację, a w konsekwencji pociągnięcie jej do odpowiedzialności – dodaje Piotr Zielaskiewicz.

Pełne stosowanie rozporządzenia rozpoczęło się 17 stycznia 2025 roku. W Polsce instytucje finansowe są forpocztą podmiotów dbających o wysoki poziom rozwiązań cyberbezpieczeństwa. Tym samym spełnianie jego wymogów, a należy podkreślić, że DORA to ciągły proces, nie powinno być problemem.

Celem DORA jest podniesienie poziomu bezpieczeństwa cyfrowego, ujednolicenie regulacji na poziomie Unii Europejskiej oraz budowanie zaufania konsumentów i inwestorów. Regulacja promuje również współpracę między instytucjami, umożliwiając skuteczniejszą wymianę informacji o zagrożeniach cybernetycznych, a co za tym idzie, szybsze reagowanie na incydenty oraz minimalizowanie ich wpływu na stabilność rynku. Z tego względu ma ona głęboki sens – dodaje Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszary bezpieczeństwa IT.

Od 2026 roku elektroniczna dokumentacja dla administracji publicznej

Od 1 stycznia 2026 roku polskie urzędy i jednostki podległe będą musiały mieć wdrożony system Elektronicznej Zintegrowanej Dokumentacji (EZD). Ta data to przełomowy moment dla administracji publicznej a także firm, które współpracują z tym sektorem.

Jak pokazują realia, na przykład niedawny cyberatak na system ewidencji gruntów i budynków w Słowacji, administracja publiczna pozostaje jednym z najważniejszych celów dla przestępców. To sprawia, że na etapie instalacji systemów Elektronicznej Zintegrowanej Dokumentacji, niezbędne jest wprowadzenie odpowiednich zabezpieczeń, np. kontroli dostępu czy szyfrowania danych, aby zapewnić bezpieczeństwo dokumentacji.

Wprowadzenie EZD w jednostkach samorządu terytorialnego wiąże się z ryzykiem ataków ransomware i DDoS, których skutkiem może być utrata danych, a także brak dostępu do krytycznych zasobów. Wiele jednostek wciąż nie posiada wystarczających zasobów ani procedur ochrony danych, co zwiększa ich podatność na zagrożenia. Konieczne jest wdrożenie odpowiednich zabezpieczeń, edukacja personelu oraz dostosowanie procedur do regulacji prawnych, aby zapewnić bezpieczeństwo i ciągłość działania. EZD to również bezpieczna i szyfrowana komunikacja jednostek podległych z centralnymi urzędami, a to można zrealizować wdrażając zaawansowane rozwiązania Next Generation Firewall. Dodatkowo warto rozważyć rozwiązania, takie jak możliwość komunikacji poprzez SSL VPN, by zwiększyć bezpieczeństwo pracy zdalnej, czy podwójna autentyfikacji (2FA/MFA).

Systemy elektronicznego obiegu dokumentacji mogą działać jako systemy wewnętrzne i w takim przypadku wymagają ochrony na brzegu sieci, co wydatnie ułatwiają nowoczesne UTM. Jeśli jednak łączą się z systemami innych jednostek administracji publicznej, to niezbędne jest zestawienie tuneli VPN by przekazywanie danych było bezpieczne. To wszystko sprawia, że zagadnienie ochrony tej infrastruktury nabiera bardzo dużego znaczenia – podsumowuje Aleksander Kostuch, ze Stormshield.