Nowe regulacje w zakresie cyberbezpieczeństwa. Jak przygotować firmę?

Badania firmy Canon wykazały, że liderzy działów IT konsekwentnie oceniają bezpieczeństwo informacji jako jedno z trzech najbardziej wymagających i czasochłonnych zadań w ciągu ostatnich pięciu lat.

Bezpieczeństwo informacji uznano za najważniejsze wyzwanie (33%), a na drugim miejscu znalazło się przestrzeganie przepisów (25%). Dlatego bezpieczeństwo informacji jest nadal palącym problemem, w miarę jak przybywa obowiązków regulacyjnych i zwiększa się złożoność technologiczna.

Przepisów jest coraz więcej. Unia Europejska i rządy poszczególnych krajów wzmacniają przepisy i rozszerzają zakres dyrektyw, aby zwiększyć bezpieczeństwo informacji. Wprowadzanej legislacji zaczyna podlegać coraz większa liczba branż. Rosną też wymagania w zakresie sprawozdawczości i bezpieczeństwa w miarę wcielania w życie nowych inicjatyw.

Ta „regulacyjna rewolucja” będzie kontynuowana, a firmy będą musiały z wyprzedzeniem analizować sytuację, planować działania i zmagać się z ekscytującymi wyzwaniami. Niektóre przepisy wymagają pilnej uwagi. Przykładem jest rozporządzenie DORA wprowadzone na początku 2025 r. Obligują ono do testowania i monitorowania odporności. Wpływa to zarówno na firmy, jak i ich klientów. Inne przepisy – takie jak ustawa o cyberodporności, która wejdzie w życie w 2026 r., a zacznie w pełni obowiązywać w 2027 r. – sprawiają, że kwestia zgodności z przepisami pozostanie priorytetem w najbliższych latach.

Kluczowym elementem zmian jest również dyrektywa NIS2 (Network and Information System 2). Dyrektywa NIS2, która ma zwiększyć odporność cybernetyczną w całej UE, rozszerza zakres pierwotnych przepisów (NIS) poprzez wprowadzenie bardziej rygorystycznych obowiązków w zakresie zarządzania ryzykiem i zgłaszania incydentów, a także wzmocnionego nadzoru regulacyjnego.

Aby sprostać dzisiejszym wyzwaniom i dostosować się do przyszłych zmian w zakresie bezpieczeństwa informacji, trzeba podjąć współpracę z partnerem mającym wiedzę i rozwiązania, które pozwolą zabezpieczyć się na przyszłość. Firma może przygotować się na nowe i zapowiadane przepisy. Pozwoli to zapobiec potencjalnie kosztownym zmianom tuż przed ostatecznym terminem wdrożenia. Aby tak się stało, kadra kierownicza musi rozważyć poniższe kwestie i przyjąć aktywną postawę, jeśli chodzi o bezpieczeństwo informacji.

Firmy muszą rozumieć przepisy mające zastosowanie do ich działalności, przemysłu i obszaru geograficznego. Mogą w tym pomóc odpowiednie zespoły prawników lub eksperci w tej dziedzinie. Dzięki temu firmy będą lepiej rozumieć konsekwencje i ogólny wpływ na ich działalność.

Kluczowe znaczenie ma również wdrożenie procesu ciągłego monitorowania pojawiających się przepisów i tendencji regulacyjnych. Może się tym zajmować specjalny zespół wewnętrzny lub wyspecjalizowany dostawcom usług. Pozwoli to przewidywać przyszłe wymagania i aktywnie się do nich dostosowywać.

Skuteczna obsługa zmieniających się przepisów może wymagać zwiększenia liczebności zespołów ds. bezpieczeństwa – poprzez zatrudnienie lub wyszkolenie pracowników specjalizujących się w przestrzeganiu przepisów dotyczących bezpieczeństwa, którzy będą je interpretować i wdrażać środki kontroli. Może to wpływać na zasoby, personel i budżety, w zależności od wymaganego poziomu dostosowania.

Zespoły IT muszą dostosować się do sytuacji i ustanowić jasne procedury zgłaszania luk w zabezpieczeniach, wprowadzania poprawek, reagowania na incydenty i powiadamiania o naruszeniach bezpieczeństwa danych zgodnie z wymaganiami dyrektywy NIS2. Te procedury są niezbędne i muszą być dokumentowane oraz regularnie weryfikowane w celu zachowania zgodności z przepisami. W razie potrzeby firmy będą musiały zainwestować w dodatkowe oprogramowanie i rozbudowane technologie do obsługi tych procedur.

Wprawdzie dostawcy są odrębnymi podmiotami, ale ich procedury i podejście do przepisów dotyczących sprawozdawczości mogą wpływać bezpośrednio na Twoją firmę. Trzeba kontaktować się z dostawcami, poznawać ich procedury bezpieczeństwa i przeprowadzać audyty, aby mieć pewność, że przestrzegają oni standardów zgodności z przepisami, które obowiązują w Twojej firmie.

Mimo że niektóre incydenty związane z bezpieczeństwem mogą mieć znaczący wpływ na działalność firmy, pracownicy muszą informować o wykrytych zagrożeniach, a w firmie musi panować atmosfera sprzyjająca zgłaszaniu takich przypadków. Zachęcanie do zgłaszania incydentów w firmie umożliwi naukę na błędach i pozwoli wprowadzać nowe procedury, a zgłaszający nie będą obawiać się działań odwetowych.

Nowe i zapowiadane przepisy są pozytywnym sygnałem dla konsumentów i całego sektora bezpieczeństwa. W ostatecznym rozrachunku spowodują powstanie bardziej bezpiecznego i przejrzystego środowiska cyfrowego dla firm. Wprawdzie mogą wystąpić koszty krótkoterminowe, ale długoterminowe korzyści wynikające z dostosowania się do zmian i przyjęcia aktywnego podejścia do przestrzegania przepisów znacznie przewyższają wagę wyzwań.