Dlaczego NIS 2 jest szczególnie istotna dla administracji publicznej?
ENISA jednoznacznie wskazuje, że administracja publiczna odpowiada za znaczną część poważnych incydentów cyberbezpieczeństwa w UE. Jednocześnie sektor ten charakteryzuje się niższą dojrzałością organizacyjną w porównaniu do podmiotów komercyjnych.
NIS 2 uznaje administrację publiczną za podmiot kluczowy, którego zakłócenie działania może mieć bezpośredni wpływ na bezpieczeństwo państwa, prawa obywateli i ciągłość usług publicznych.
Nowe obowiązki – co zmienia NIS 2?
W świetle NIS 2 administracja publiczna zobowiązana jest do wdrożenia systemowego podejścia do cyberbezpieczeństwa, obejmującego zarówno środki techniczne, jak i organizacyjne.
- ✓ ciągłe zarządzanie ryzykiem cybernetycznym,
- ✓ procedury reagowania na incydenty i ich raportowanie,
- ✓ zapewnienie ciągłości działania usług publicznych,
- ✓ nadzór nad bezpieczeństwem łańcucha dostaw,
- ✓ regularne szkolenia personelu i kadry kierowniczej.
Odpowiedzialność kierownictwa
Jedną z najistotniejszych zmian wprowadzanych przez NIS 2 jest bezpośrednie zaangażowanie kierownictwa jednostek w nadzór nad cyberbezpieczeństwem.
ENISA wskazuje, że brak wsparcia ze strony kadry zarządzającej jest jedną z głównych przyczyn nieskuteczności środków bezpieczeństwa w administracji publicznej.
NIS 2 jako odpowiedź na realne zagrożenia
Analiza zagrożeń przedstawiona w raporcie ENISA jasno pokazuje, że NIS 2 nie wprowadza nadmiarowych obowiązków. Każdy z wymogów dyrektywy odpowiada konkretnym scenariuszom ataków obserwowanych w administracji publicznej.
Brak wdrożenia tych obowiązków zwiększa ryzyko poważnych incydentów, odpowiedzialności regulacyjnej oraz utraty zaufania obywateli.
Wnioski
NIS 2 stanowi punkt zwrotny w podejściu do cyberbezpieczeństwa administracji publicznej. W połączeniu z ustaleniami ENISA jasno pokazuje, że cyberbezpieczeństwo staje się obowiązkiem zarządczym i elementem bezpieczeństwa państwa.
Źródło: ENISA, ENISA Sectorial Threat Landscape – Public Administration
