– Pierwsza i podstawowa zmiana, jaką wprowadzają regulacje dyrektywy NIS2, to sytuacja, w której o tym, czy ktoś jest objęty jej przepisami, nie rozstrzyga, jak było do tej pory, decyzja administracyjna. W ramach NIS2 powstał katalog branż, obejmujący wchodzące w ich skład firmy, które podlegają dyrektywie, i to one same muszą zadeklarować,czy podlegają nowym przepisom – podkreśla Rafał Cichocki, kierownik Centrum Cyberbezpieczeństwa Morskiego Uniwersytetu Morskiego w Gdyni.
Ponadto dokument zobowiązuje podmioty do tego, aby badały stan cyberbezpieczeństwa swojego łańcucha dostaw. Zdaniem R. Cichockiego to jest bardzo dobra regulacja, dlatego że nikt nie może być pewien, czy jego system jest odporny, jeśli w jego łańcuchu dostaw występują luki. Problem polega na tym, że jeśli firma kooperująca świadczy swoje usługi zdalnie za pośrednictwem np. połączenia VPN, co znacznie przyśpiesza cały proces, jednocześnie jej system stanowi furtkę do systemu wewnętrznego firmy podlegającej regulacjom NIS2.
– Z tego powodu ważne jest, aby system firmy świadczącej usługę był należycie chroniony. W tej sytuacji mogą pojawić się naciski, by firmy z łańcucha dostępu podmiotów kluczowych i ważnych również spełniały wymogi NIS2. Wiele z nich próbuje tego uniknąć, ale może okazać się, że będzie to konieczne ze względu na powiązania biznesowe – dodaje.
Dodatkowo należy pamiętać o przełożeniu cyberbezpieczeństwa na bezpieczeństwo fizyczne. Przykładem może być niedawna sprawa wybuchających pagerów i krótkofalówek jednej z organizacji arabskich, a był to właśnie atak fizyczny z wykorzystaniem cyberprzestrzeni. Przygotowywany zresztą niemal przez 2 lata.
Dlatego budowanie i projektowanie tych systemów musi odbywać się z uwzględnieniem potrzeb cyberbezpieczeństwa już w początkowych fazach tych projektów, mówimy tutaj o security by design (więcej w „Namiarach na Morze i Handel” 19/2024).