Cyberbezpieczeństwo – kluczowe wyzwania i regulacje

W obliczu rosnącej skali cyberataków, firmy muszą zmierzyć się z nową rzeczywistością, w której każda luka w zabezpieczeniach może oznaczać przestoje produkcyjne i straty finansowe, stanowiąc jednocześnie naruszenie regulacji prawnych obwarowanych surowymi sankcjami.

Wpływ wojny w Ukrainie na cyberbezpieczeństwo przemysłowe

Wojna w Ukrainie unaoczniła, że cyberprzestrzeń stała się nowym polem walki, a infrastrukturę przemysłową coraz częściej traktuje się jako strategiczny cel cyberataków. Bliskość Polski w stosunku do obszaru działań wojennych sprawia, że nasz rodzimy przemysł znalazł się w strefie podwyższonego ryzyka. Takie operacje, jak seria cyberataków NotPetya z 2017 r., wymierzone oryginalnie w Ukrainę, udowadniają, że skutki takich działań mogą szybko rozprzestrzeniać się na sąsiednie kraje.1 Polska, jako jeden z największych hubów logistycznych i przemysłowych w Europie Środkowo-Wschodniej, stała się popularnym celem cyberprzestępców zarówno tych działających w ramach wojny hybrydowej, jak i niezależnych grup hakerskich. Zagrożenia te wymagają od polskich przedsiębiorców szczególnej uwagi i poświęcenia zasobów czasowych oraz finansowych na rozwój systemów cyberbezpieczeństwa.

Statystyki Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA) pokazują, że skala problemu jest ogromna. Według raportu ENISA z 2024 r. hakerzy coraz częściej atakują nie tylko podmioty publiczne, ale również firmy prywatne, w tym działające w sektorze przemysłowym. Na celowniku w szczególności znalazł się transport, infrastruktura cyfrowa, produkcja i sektor energetyczny. Firmy z sektora przemysłowego stanowią atrakcyjny cel ze względu na ich kluczową rolę w gospodarce i często niedostateczne zabezpieczenia systemów automatyzacji.2

Koszty cyberataków dla przemysłu

Każdy atak cyfrowy na przedsiębiorstwo przemysłowe to nie tylko potencjalny wyciek danych, ale także groźba całkowitego paraliżu produkcji lub zakłócenia łańcucha dostaw. Incydenty bezpieczeństwa, zwłaszcza w zakładach zautomatyzowanych, mogą generować wielomilionowe straty, a odbudowa zaufania klientów i kontrahentów często trwa lata. W przypadku ataków typu ransomware, w których przestępcy szyfrują dane i żądają okupu, koszty mogą wzrosnąć wielokrotnie, obejmując również przestoje i konieczność odtwarzania systemów.

Jak wynika z danych IBM, w 2024 r. średni koszt pojedynczego incydentu cyberbezpieczeństwa w sektorze przemysłowym wynosił aż 5,56 mln dolarów. Co więcej, sektor ten odnotował najwyższy wzrost kosztów naruszeń w całej gospodarce – 830 000 dolarów rok do roku.3 Dane te jednoznacznie wskazują na pilną potrzebę usprawnienia reakcji na incydenty bezpieczeństwa w branży przemysłowej. Mimo wysokiej podatności tego sektora na skutki przestojów, czas potrzebny na wykrycie i opanowanie naruszeń przewyższał w 2024 r. średnią dla całej gospodarki i wynosił 199 dni na identyfikację oraz 73 dni na zneutralizowanie naruszenia.

Należy pamiętać, że oprócz kosztów bezpośrednich przedsiębiorcy muszą liczyć się z konsekwencjami prawnymi i sankcjami wynikającymi z nieprzestrzegania regulacji dotyczących bezpieczeństwa cybernetycznego.

Regulacje prawne dotyczące cyberbezpieczeństwa w przemyśle

W odpowiedzi na rosnące zagrożenia, zarówno Unia Europejska, jak i poszczególne państwa członkowskie wprowadziły (albo planują wprowadzić) szereg regulacji prawnych mających na celu zwiększenie odporności na cyberataki. Kluczowe znaczenie ma przyjęta w 2022 r. dyrektywa NIS2 (Network and Information Systems Directive 2), dla której termin na transpozycję do porządków krajowych upłynął 17 października 2024 r. W Polsce dostosowanie krajowych przepisów do wymogów NIS2 ma nastąpić w drodze nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 2018 r. Zgodnie z informacjami Ministerstwa Cyfryzacji, nowa ustawa zostanie uchwalona jeszcze w tym roku, najpewniej z miesięcznym vacatio legis. Polscy przedsiębiorcy powinni zatem ująć zwiększenie poziomu cyberbezpieczeństwa swoich organizacji wśród biznesowych priorytetów na ٢٠٢٥ r.

Na gruncie nowych przepisów istotnie zwiększy się liczba firm podlegających obowiązkom z zakresu cyberbezpieczeństwa. Poszerzenie zakresu podmiotowego NIS2 względem dotychczas obowiązujących przepisów jest szczególnie zauważalne w branży przemysłowej i obejmuje m.in. zakłady zajmujące się produkcją, wytwarzaniem i dystrybucją chemikaliów, żywności, wyrobów medycznych, komputerowych, urządzeń elektrycznych i maszyn. NIS2 kasuje również obowiązujący dotychczas podział podmiotów obowiązanych na „operatorów usług kluczowych” i „dostawców usług cyfrowych”. Obecnie rozróżniamy podmioty „kluczowe” i „ważne”, a kwalifikacja do jednej z tych grup odbywać będzie się w procedurze samoidentyfikacji, czyli samodzielniej oceny czy wielkość przedsiębiorstwa oraz branża, w której działa powodują, że jest ono objęte zakresem podmiotowym nowych regulacji. Pozytywny wynik takiej analizy oznaczać będzie m.in. obowiązek rejestracji w odpowiednim wykazie, przeprowadzenia audytów bezpieczeństwa, zorganizowania szkoleń dla pracowników, implementacji działań zapobiegawczych oraz planów zarządzania i raportowania incydentów bezpieczeństwa.

Niespełnienie wymagań regulacyjnych obwarowane jest surowymi karami pieniężnymi – do 10 mln euro lub 2 % rocznego obrotu przedsiębiorstwa, a także karą do 600 % wynagrodzenia, która będzie mogła być nałożona na kierownika danego podmiotu.

Cyberbezpieczeństwo – to się opłaca

Zapewnienie bezpieczeństwa przed cyberatakami powinno być jednym z kluczowych celów każdej organizacji, a w szczególności organizacji, która w swojej działalności polega na zaawansowanych technologicznie rozwiązaniach. Automatyka przemysłowa z całą pewnością jest przyszłością produkcji, jednak inwestycjom w nowoczesne technologie zawsze towarzyszyć powinna odpowiednia alokacja zasobów finansowych, organizacyjnych i technicznych w środki je zabezpieczające. Stawką jest bezpieczeństwo finansowe i operacyjne przedsiębiorstw, a w dobie rosnącej liczby cyberzagrożeń inwestycja w odpowiednie zabezpieczenia, w tym ochronę systemów zautomatyzowanych, jest jedyną słuszną strategią biznesową.

Maciej Kubiak

Specjalizuje się w zagadnieniach prawa autorskiego, mediów, filmowego i prasowego, IT i nowych technologii, reklamy i własności przemysłowej oraz ochrony dóbr osobistych. Reprezentuje klientów w sporach sądowych związanych z ochroną własności intelektualnej, renomy oraz w sprawach gospodarczych.

Kontakt: m.kubiak@skplaw.pl
Strony internetowe: www.skplaw.pl, www.skpipblog.pl.

Aleksandra Kubiś

Radca prawny od lat związana z branżą nowych technologii i cyberbezpieczeństwa. Specjalizuje się w prawie IT, ochronie danych osobowych i compliance, wspierając firmy w dostosowywaniu się do wymogów prawnych i budowaniu bezpiecznych rozwiązań technologicznych.

Kontakt: a.kubis@skplaw.pl

source: Automatyka 1-2/2025