Wraz z wdrożeniem NIS2 odpowiedzialność za bezpieczeństwo cyfrowe przesuwa się z poziomu operacyjnego na poziom zarządczy. Nowe przepisy wskazują, że organizacje powinny traktować bezpieczeństwo systemów informatycznych jako jeden z fundamentów ciągłości działania i wiarygodności biznesowej.
Oznacza to włączenie cyberbezpieczeństwa do procesów zarządzania ryzykiem. Zarząd musi mieć świadomość, które systemy są kluczowe dla funkcjonowania organizacji, gdzie przechowywane są dane i jakie procedury obowiązują w sytuacji, w której dochodzi do incydentu.
Świadomość rośnie szybciej niż poziom zabezpieczeń
Z raportu „Cyberbezpieczeństwo w sektorze MŚP w Polsce”, przygotowanego przez EXEA i PMR, wynika, że w wielu organizacjach istnieje rozbieżność między świadomością zagrożeń a poziomem wdrożeń.
Blisko 80 proc. firm deklaruje, że cyberbezpieczeństwo jest dla nich wysokim priorytetem, jednak tylko część wdrożyła podstawowe mechanizmy ochrony, tj. regularne tworzenie kopii zapasowych czy procedury reagowania na incydenty.
Bezpieczeństwo cyfrowe bywa traktowane jako zbiór narzędzi technologicznych, a nie spójny system zarządzania ryzykiem w całej organizacji. Brak uporządkowanych procesów sprawia, że wdrożone rozwiązania nie zawsze przekładają się na uzyskanie zadowalającego poziomu odporności.
Zmiany legislacyjne impulsem do uporządkowania procesów
Nowelizacja KSC może być dla wielu firm momentem przełomowym. Z jednej strony wprowadza konkretne obowiązki w zakresie zarządzania ryzykiem, raportowania incydentów oraz zapewnienia ciągłości działania. A z drugiej daje impuls do uporządkowania procesów, które do tej pory funkcjonowały w sposób rozproszony, stając się punktem wyjścia do szerszej transformacji. Dla wielu organizacji to pierwszy moment, w którym bezpieczeństwo cyfrowe zaczyna być analizowane w sposób całościowy.
Droga do cyfrowej suwerenności
Zmiana podejścia do cyberbezpieczeństwa prowadzi do refleksji nad kontrolą nad danymi i infrastrukturą. Firmy muszą odpowiedzieć na pytania o lokalizację danych (której rola rośnie wraz z dynamicznie zmieniającą się sytuacją międzynarodową), sposób ich przetwarzania i zakres odpowiedzialności dostawców technologii.
Dyrektywa NIS2 zwraca szczególną uwagę na bezpieczeństwo łańcucha dostaw. Oznacza to, że organizacje odpowiadają za własne systemy, ale także za rozwiązania, z których korzystają. W tym ujęciu cyberbezpieczeństwo zaczyna łączyć się z pojęciem cyfrowej suwerenności, rozumianej jako zdolność do zachowania kontroli nad kluczowymi zasobami cyfrowymi oraz środowiskiem ich przetwarzania. Przestaje być ono wyłącznie kwestią ochrony systemów i zaczyna dotyczyć zdolności organizacji do utrzymania kontroli nad całym środowiskiem cyfrowym, obejmując dane, infrastrukturę oraz podmioty, które mają do nich dostęp. W tym sensie suwerenność cyfrowa staje się naturalnym rozszerzeniem podejścia do bezpieczeństwa.
Polska chmura i lokalna infrastruktura
Dane z raportu EXEA i PMR pokazują, że wiele firm znajduje się dziś na etapie przejściowym. W dobie rosnącego zainteresowania wykorzystaniem rozwiązań chmurowych obserwujemy dominującą rolę lokalnych rozwiązań w obszarze procesów krytycznych, tj. backup czy odtwarzanie danych.
Jednym z kluczowych elementów zmiany dotyczącej polskich firm jest lokalizacja danych. To ona decyduje o tym, jakie regulacje mają zastosowanie i kto może uzyskać do nich dostęp. Dane przechowywane poza europejskim systemem prawnym mogą podlegać innym jurysdykcjom, co ogranicza faktyczną kontrolę organizacji nad informacjami. W kontekście KSC oznacza to dodatkowe ryzyka operacyjne i regulacyjne.
Brak spójnej architektury bezpieczeństwa i rozproszenie odpowiedzialności za dane utrudniają rodzimym firmom reagowanie na incydenty oraz spełnienie wymogów regulacyjnych. W tym kontekście rośnie znaczenie lokalnych centrów danych i usług chmurowych działających w Polsce. Infrastruktura zlokalizowana w kraju prowadzenia działalności i podlegająca europejskim regulacjom zapewnia większą przewidywalność oraz ułatwia spełnienie wymogów wynikających z KSC.
MATERIAŁ PARTNERA: EXEA DATA CENTER