Październik, jako Europejski Miesiąc Cyberbezpieczeństwa, to dobry moment, aby sprawdzić, jak kwestie bezpieczeństwa cyfrowego wpisują się w tematykę ESG. Zbliżający się termin wdrożenia dyrektywy NIS 2 wymusza na firmach nie tylko wzmocnienie ochrony przed cyberzagrożeniami, ale także odpowiedzialne zarządzanie danymi i infrastrukturą IT. Jakie wyzwania wiążą się z nowymi przepisami?
Z artykułu dowiesz się:
- W jakim celu wprowadzono Europejski Miesiąc Cyberbezpieczeństwa?
- Dlaczego cyberbezpieczeństwo jest istotnym aspektem w raportowaniu ESG?
- Jakie nowe obowiązki dla firm wprowadza dyrektywa NIS 2?
Trwa Europejski Miesiąc Cyberbezpieczeństwa – to już 11. edycja kampanii mającej na celu podniesienie świadomości społecznej odnośnie zagrożeń cyfrowych oraz promowanie praktyk cyberbezpieczeństwa wśród obywateli Unii Europejskiej. Tegoroczna edycja skupia się na zagrożeniach socjotechnicznych wykorzystujących różne techniki komunikacji do wpływania na innych. Inicjatorem kampanii jest Europejska Agencja ds. Cyberbezpieczeństwa (ENISA), działająca na zlecenie Komisji Europejskiej.
Celem kampanii jest nie tylko edukacja, ale również zachęcanie do wdrożenia skutecznych środków ochrony cyfrowej, które mogą znacząco zmniejszyć ryzyko cyberprzestępczości. W październiku ENISA, wraz z lokalnymi organami bezpieczeństwa, organizuje warsztaty, seminaria oraz kampanie informacyjne, które są dostępne dla każdego zainteresowanego. W Polsce partnerem wydarzenia jest Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy.
Cyberzagrożenie może spotkać każdego
Na początku października dwoje mieszkańców powiatu poznańskiego straciło blisko 350 tys. zł. Oszuści wykorzystali metodę zwaną „spoofing” – czyli podszywanie się pod różne instytucje, takie jak banki, urzędy państwowe czy firmy, a nawet osoby prywatne, by wyłudzić dane lub pieniądze. Cyberprzestępcy używają różnych, ogólnodostępnych narzędzi internetowych, które umożliwiają im dzwonienie z dowolnie wybranych numerów. Warto zwrócić uwagę także na inne rodzaje ataków:
- ransomware – rodzaj złośliwego oprogramowania, które szyfruje ważne pliki na dysku lokalnym i sieciowym, a następnie żąda okupu za ich odszydrowanie;
- phishing – cyberatak polegający na wysyłaniu e-maili z fałszywymi linkami, mający na celu kradzież prywatnych danych użytkowników przez oszustów podszywających się pod legalne firmy;
- ataki na łańcuch dostaw – naruszenie bezpieczeństwa polegające na wykorzystaniu lub manipulacji oprogramowaniem, sprzętem bądź aplikacjami stron trzecich;
- DDoS (Distributed Denial of Service) – atak na systemy komputerowe lub usługi sieciowe, którego celem jest zajęcie wszystkich dostępnych zasobów, aby uniemożliwić funkcjonowanie całej usługi w sieci Internet;
- ataki deepfake – AI jest wykorzystywana do generowania syntetycznych filmów i nagrań audio, co pozwala hakerom podszywać się pod zaufane osoby, takie jak administratorzy sieci czy członkowie zarządu;
- ataki na IoT (Internet of Things) – cyberatak polegający na wykorzystywaniu luk w zabezpieczeniach inteligentnych urządzeń i aplikacji połączonych z Internetem;
- ataki zero-day – wykorzystanie nienaprawionej luki w zabezpieczeniach oprogramowania, która jest znana producentowi.
Cyberzagrożenia to realny problem. W 2023 r. aż 66 proc. polskich firm odnotowało przynajmniej jeden incydent naruszenia bezpieczeństwa, a 34 proc. z nich zarejestrowało wzrost liczby prób cyberataków – wynika z raportu Barometr Cyberbezpieczeństwa przygotowanego przez KPMG.
Cyberbezpieczeństwo w raportowaniu ESG
Firmy mogą czerpać znaczące korzyści z analizy ścisłego związku między ryzykiem cybernetycznym a kwestiami ESG. Wspólnym mianownikiem obu jest identyfikacja ryzyk oraz szans, które mogą mieć wpływ na działalność przedsiębiorstwa. Właściwe zarządzanie cyberbezpieczeństwem staje się więc nie tylko wymogiem operacyjnym, ale także integralną częścią prowadzenia odpowiedzialnego biznesu.
Aby skutecznie chronić swoją infrastrukturę IT oraz dane osobowe klientów i pracowników, firmy muszą wdrożyć odpowiednie środki bezpieczeństwa. Obejmują one zaawansowane technologie zabezpieczeń, regularne audyty systemów, szkolenia dla pracowników w zakresie ochrony danych oraz ścisłe przestrzeganie przepisów o ochronie prywatności i bezpieczeństwa informacji, takich jak RODO.
Od 2026 r. obowiązkiem raportowania ESG (patrz: raport-niefinansowy) zostaną objęte małe i średnie przedsiębiorstwa, które spełnią co najmniej dwa z trzech kryteriów:
- zatrudniają ponad 10 pracowników,
- ich suma bilansowa przekracza 350 tys. EUR,
- roczne przychody są wyższe niż 700 tys. EUR.
Firmy te, stosując zasadę podwójnej istotności (patrz: podwójna-istotność), będą zobowiązane do raportowania kwestii ważnych zarówno z perspektywy ich wpływu na otoczenie, jak i finansowej. W ramach raportowania ESG przedsiębiorstwa będą mogły uwzględniać wskaźniki związane z cyberbezpieczeństwem, takie jak:
- liczba incydentów cybernetycznych,
- poziom zgodności z przepisami dotyczącymi ochrony danych osobowych,
- stopień przestrzegania polityk bezpieczeństwa IT.
Wskaźniki te mogą dostarczyć inwestorom i interesariuszom cennych informacji o tym, jak organizacja zarządza ryzykiem cybernetycznym. Ignorowanie ich może kosztować firmy więcej niż tylko pieniądze. Każda firma, która chce budować i utrzymać zaufanie swoich klientów, inwestorów i pracowników, powinna mieć opracowaną solidną strategię cyberbezpieczeństwa. To nie tylko kwestia zgodności z przepisami, ale także moralnej odpowiedzialności.
Cyberbezpieczeństwo w Unii Europejskiej
Na początku 2023 r. Unia Europejska zatwierdziła nowe przepisy dotyczące cyberbezpieczeństwa uchwalając dyrektywę NIS 2 (Network and Information Systems Directive). Przepisy te dotyczą zarówno podmiotów publicznych, jak i prywatnych, które świadczą usługi lub prowadzą działalność na terenie UE i spełniają kryteria średnich przedsiębiorstw. Oznacza to, że zatrudniają co najmniej 50 osób i generują roczny obrót powyżej 10 mln EUR (lub ich roczna suma bilansowa przekracza 10 mln EUR).
Dyrektywa NIS 2 wprowadza podział na sektory kluczowe (jest ich 10, to m.in. energetyka, transport, bankowość) i ważne (wyróżniono ich 7, m.in. badania naukowe, usługi cyfrowe, gospodarowanie odpadami) oraz na podmioty kluczowe i ważne w ramach tych sektorów, które muszą przestrzegać nowych przepisów.
Podział podmiotów w dyrektywie NIS 2 wygląda następująco:
- podmioty kluczowe – firmy działające w kluczowych sektorach, które są dużymi przedsiębiorstwami. Oznacza to, że zatrudniają ponad 250 pracowników lub ich obroty przekraczają 50 mln EUR (lub wartość aktywów wynosi powyżej 43 mln EUR).
- podmioty ważne – firmy działające w kluczowych sektorach, które są średnimi przedsiębiorstwami, czyli zatrudniają od 50 do 250 pracowników lub ich obroty wynoszą od 10 do 50 mln EUR (lub wartość aktywów wynosi od 10 do 43 mln EUR),
- podmiot działający w sektorze ważnym, który jest średnim lub dużym przedsiębiorstwem, jest uznawany za podmiot ważny – niezależnie od swojej wielkości.
Obowiązki wprowadzone przez dyrektywę NIS 2 są takie same zarówno dla podmiotów kluczowych, jak i ważnych, jednak muszą uwzględniać specyfikę danej firmy. Należą do nich:
- wdrożenie systemów zarządzania ryzykiem cyberbezpieczeństwa,
- zgłaszanie incydentów cyberbezpieczeństwa odpowiednim organom regulacyjnym,
- stosowanie środków technicznych i organizacyjnych w celu ochrony swoich systemów i danych.
Przepisy dyrektywy muszą zostać wdrożone do krajowych systemów prawnych do 17 października 2024 r. Nieprzestrzeganie nowych zasad może skutkować wysokimi karami finansowymi. Dla kluczowych podmiotów kary mogą osiągnąć nawet 10 mln EUR lub 2 proc. ich rocznego obrotu, natomiast inne ważne firmy mogą być karane grzywnami do 7 mln EUR lub 1,4 proc. rocznego obrotu.
Treść dyrektywy NIS 2 jest dostępna na stronie EUR-Lex, oficjalnym portalu Unii Europejskiej – link
