W październiku 2024 roku w życie wchodzi unijna dyrektywa NIS2, która wprowadza nowe standardy cyberbezpieczeństwa, zwłaszcza dla branży finansowej, energetycznej i podmiotów publicznych.
Nowe przepisy nakładają na te instytucje obowiązki związane z zabezpieczaniem systemów teleinformatycznych oraz przechowywanych danych. Zignorowanie tych regulacji może prowadzić do wielomilionowych kar finansowych. Jednak czy polski sektor publiczny jest na to przygotowany?
Dyrektywa NIS2 już jesienią
Instytucje publiczne przechowują ogromne ilości danych, co czyni je atrakcyjnym celem dla cyberprzestępców. W odpowiedzi na rosnące zagrożenia, w 2023 roku uruchomiono program „Cyberbezpieczny Samorząd” o wartości 15 miliardów złotych, z którego skorzystało 90% uprawnionych instytucji. Mimo to, jak zauważają eksperci, poziom bezpieczeństwa cyfrowego w polskich samorządach nadal pozostawia wiele do życzenia.
Kontrole Najwyższej Izby Kontroli z 2023 roku ujawniły, że wiele jednostek administracji publicznej korzysta z przestarzałego oprogramowania i sprzętu, a także nie monitoruje swoich systemów odpowiednio. Problemem jest również brak świadomości pracowników na temat zagrożeń cybernetycznych oraz trudności w znalezieniu wykwalifikowanych specjalistów IT. Tomasz Surdyk, ekspert ds. cyberbezpieczeństwa w Kingston Technology, zwraca uwagę, że wiele jednostek nadal używa systemów operacyjnych, takich jak Windows 7, które nie są już wspierane i zabezpieczane.
Dyrektywa NIS2 to takie nowe RODO dla państwa
NIS2 nakłada na sektor publiczny obowiązek ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa oraz zapewnienia bezpiecznego przechowywania danych. Kluczowe będzie inwestowanie w nowoczesne technologie, sprzęt oraz oprogramowanie, a także rozwój specjalistów IT. Konieczne jest również stosowanie zaawansowanych metod szyfrowania danych. Robert Sepeta z Kingston Technology podkreśla, że szyfrowanie sprzętowe, choć droższe, zapewnia znacznie wyższy poziom ochrony niż szyfrowanie programowe.
Istotnym elementem zarządzania danymi jest tworzenie bezpiecznych kopii zapasowych. Zaleca się stosowanie zasady „3-2-1”: trzy kopie danych na dwóch różnych nośnikach, z czego jedna powinna być przechowywana w odizolowanym miejscu poza siedzibą organizacji. Takie podejście minimalizuje ryzyko utraty danych w wyniku ataku cybernetycznego czy innej awarii.
Przygotowanie polskiego sektora publicznego do wymogów NIS2 będzie wymagało nie tylko inwestycji finansowych, ale także zmiany podejścia do zarządzania cyberbezpieczeństwem. Wzrost świadomości zagrożeń oraz rozwój kompetencji w zakresie ochrony danych są kluczowe dla skutecznej obrony przed cyberatakami. Nowa dyrektywa stawia przed polskimi instytucjami publicznymi poważne wyzwania, ale z drugiej strony także daje szansę na znaczącą poprawę bezpieczeństwa cyfrowego.