Директива NIS2 в Польше. Более 10 000 компаний должны внедрить новые стандарты кибербезопасности. Штрафы составят 10 миллионов евро.
На прошлой неделе Совет министров принял законопроект о введении директивы ЕС NIS2 в польское законодательство. Проблема в том, что срок его реализации истек более года назад, то есть 17 октября 2024 года. Эта задержка может дорого стоить польским компаниям, поскольку новые правила кибербезопасности уже охватили более 10 000 субъектов в стране, и большинство из них еще не осведомлены о предстоящих обязательствах.
Киберугрозы растут с каждым годом, поэтому мы должны действовать быстрее и эффективнее, чем те, кто пытается нас атаковать – вице-премьер Кшиштоф Гавковский о реализации директивы NIS2 в Польше.
Польша входит в число наиболее уязвимых стран Европы. В отчете Check Point освещаются новые тактики киберпреступников и меняющиеся цели
Директива NIS2, пришедшая на смену предыдущему решению NIS1 от 2016 года, вероятно, является самым важным регламентом ЕС по кибербезопасности за последнее десятилетие. Его последствия ощутят не только крупные корпорации энергетического и банковского секторов, но и тысячи средних и малых технологических компаний. К ним относятся поставщики облачных услуг, операторы центров обработки данных, телекоммуникационные компании и даже производители электроники. Польша должна была перенести эти положения в национальное законодательство не позднее октября 2024 года. Вместо этого правительство только сейчас приняло проект поправки к Закону о национальной системе кибербезопасности. Главное изменение? Число организаций, на которых распространяются обязательства по обеспечению кибербезопасности, резко возросло с примерно 400 до более чем 10 000! Это результат расширения сферы действия директивы на 18 важнейших секторов, включая ранее игнорированные области, такие как почтовые и курьерские услуги, утилизация отходов, космическое, химическое и пищевое производство. Директива также вводит двухуровневое разделение на ключевые субъекты и важные субъекты. Первые — это в основном крупные компании, сбой в работе которых может иметь серьезные последствия для национальной безопасности. Нарушение этих правил может повлечь за собой штраф в размере до 10 миллионов евро или 2%. годовой мировой оборот, в зависимости от того, что больше. Крупные предприятия, зачастую более мелкие предприятия, могут быть оштрафованы на сумму до 7 миллионов евро.
Атака PixNapping на Android позволяет украсть коды 2FA без специальных разрешений путем манипулирования скриншотами
Однако наиболее интересным аспектом NIS2 является не прямой охват тысяч компаний, а так называемый эффект цепочки поставок. Директива требует, чтобы ключевые и важные организации контролировали своих поставщиков и бизнес-клиентов с точки зрения кибербезопасности. Давайте представим, что это похоже на обновление безопасности вашей системы. Если один компонент остается уязвимым, все решение становится нестабильным. То же самое и с цепочкой поставок. Даже если небольшая компания не подпадает под действие директивы напрямую, но сотрудничает с ключевой организацией, для соблюдения контракта ей придется соответствовать определенным стандартам безопасности. Это означает, что фактическое количество компаний, которые ощутят на себе последствия NIS2, будет намного выше официальных 10 000. Новые правила также меняют философию подхода к кибербезопасности. Вместо жестких технических требований директива NIS2 вводит модель, основанную на анализе рисков. Каждая организация должна провести собственную оценку угроз и адаптировать меры безопасности к своей конкретной деятельности. Это одновременно гибко и ловушка. Компании получают свободу выбора решений, но и полную ответственность за их эффективность. Они должны внедрить систему управления информационной безопасностью (СУИБ), регулярно оценивать риски, управлять инцидентами и обучать управленческий персонал. Важно отметить, что за халатность в этой сфере руководители будут нести личную ответственность.
Ваша игровая мышь может вас подслушивать. Датчики PixArt PAW3395 и PAW3399 угрожают конфиденциальности пользователей
Еще одной новинкой является создание отраслевых команд CSIRT (Computer Security Incident Response Teams), которые будут оказывать поддержку предпринимателям в реагировании на кибератаки. В настоящее время в Польше действуют три основные национальные CSIRT. Это CERT Polska для граждан, CSIRT GOV для государственного управления и CSIRT MON для военных структур. Теперь к ним присоединятся специализированные команды для конкретных отраслей, например. энергия, финансы или здоровье. Об инцидентах будет сообщаться через систему S46: сначала в качестве раннего предупреждения в течение 24 часов, затем полный отчет в течение 72 часов и, наконец, окончательный отчет в течение месяца. Для польского ИТ-сектора внедрение NIS2 представляет собой двоякую проблему. С одной стороны, технологические компании, особенно предоставляющие услуги цифровой инфраструктуры, будут в числе субъектов, на которых непосредственно распространяются обязательства. Поставщики услуг DNS, операторы реестров TLD и квалифицированные поставщики услуг доверия автоматически становятся ключевыми субъектами, независимо от их размера. С другой стороны, растущие требования к кибербезопасности открывают рыночные возможности для компаний, предлагающих решения в области защиты ИТ-систем, аудита безопасности и обучения.
Microsoft подтверждает эксплуатацию CVE-2025-10035 нулевого дня в GoAnywhere MFT хакерами с максимальным баллом угрозы 10,0
Однако вопрос в том, повредит ли польским предпринимателям годовая отсрочка реализации? Европейская комиссия может ввести в отношении Польши процедуру нарушения законодательства ЕС, которая влечет за собой потенциальные финансовые санкции. Но это еще не конец проблем. Компаниям, которые еще не подготовились к требованиям NIS2, придется быстро внедрять организационные и технологические изменения: от внедрения систем управления безопасностью через обучение персонала до аудита ИТ-инфраструктуры. А это требует не только больших денег, но прежде всего времени.
Источник: Biznes.gov.pl, NASK, CSIRT.
