NIS2 dla Finansów i ubezpieczeń

Czym jest NIS2?

NIS2 (Network and Information Security Directive 2) to unijna dyrektywa dotycząca cyberbezpieczeństwa, która zastąpiła pierwotną dyrektywę NIS z 2016 roku. Jej celem jest podniesienie poziomu odporności na cyberzagrożenia w kluczowych sektorach gospodarki poprzez wprowadzenie jednolitych, rygorystycznych standardów zarządzania ryzykiem i reagowania na incydenty. Polska implementacja dyrektywy, znana jako nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), nakłada na objęte nią podmioty konkretne obowiązki organizacyjne i techniczne.

NIS2 a branża Finanse i ubezpieczenia

Sektor finansowy i ubezpieczeniowy należy do kategorii podmiotów kluczowych w rozumieniu dyrektywy NIS2, co oznacza najwyższy poziom nadzoru i najszerszy zakres obowiązków. Banki, towarzystwa ubezpieczeniowe, domy maklerskie, firmy leasingowe oraz dostawcy infrastruktury płatniczej muszą spełnić wymagania dyrektywy niezależnie od tego, czy wcześniej podlegały regulacji DORA (Digital Operational Resilience Act), ponieważ oba reżimy regulacyjne mogą mieć zastosowanie jednocześnie.

Przykłady konkretnych podmiotów objętych NIS2 w tej branży to banki komercyjne i spółdzielcze obsługujące klientów detalicznych i korporacyjnych, zakłady ubezpieczeń na życie i majątkowych, towarzystwa funduszy inwestycyjnych, operatorzy bankomatów i systemów płatniczych, a także giełdy i firmy rozliczeniowe. Dla tych podmiotów atak cybernetyczny może w ciągu minut sparaliżować procesy krytyczne dla funkcjonowania całej gospodarki, dlatego regulatorzy objęli je szczególnym nadzorem.

Specyfika branży finansowo-ubezpieczeniowej sprawia, że zagrożenia cybernetyczne mają tutaj wyjątkowo dotkliwe skutki. Wyciek danych klientów banku, atak ransomware na systemy likwidacji szkód czy przejęcie infrastruktury płatniczej to zdarzenia, które generują nie tylko straty finansowe, ale też prowadzą do utraty zaufania klientów i wielomilionowych kar regulacyjnych. NIS2 traktuje te zagrożenia jako systemowe i zobowiązuje podmioty do proaktywnego zarządzania ryzykiem, a nie wyłącznie reaktywnego reagowania na incydenty.

Kluczowe wymagania

• Zarządzanie ryzykiem cyberbezpieczeństwa: Wdrożenie formalnego procesu identyfikacji, oceny i minimalizacji ryzyk związanych z bezpieczeństwem sieci i systemów informatycznych, w tym systemów bankowości internetowej, platform ubezpieczeniowych i narzędzi do obsługi polis.
• Polityki bezpieczeństwa informacji: Opracowanie i utrzymanie aktualnej dokumentacji polityk bezpieczeństwa, obejmujących zarządzanie dostępem, klasyfikację danych, szyfrowanie oraz zasady pracy zdalnej pracowników obsługujących dane klientów.
• Zgłaszanie incydentów: Obowiązek raportowania poważnych incydentów do organu nadzorczego (CSIRT sektorowy) w ciągu 24 godzin od wykrycia zdarzenia, a pełnego raportu w ciągu 72 godzin. W sektorze finansowym takim organem jest CSIRT KNF.
• Ciągłość działania i zarządzanie kryzysowe: Posiadanie aktualnych planów ciągłości działania (BCP) i planów odtworzenia po katastrofie (DRP) obejmujących kluczowe systemy, takie jak systemy transakcyjne, bazy danych klientów czy platformy obsługi roszczeń.
• Bezpieczeństwo łańcucha dostaw: Weryfikacja dostawców oprogramowania, usług chmurowych i firm outsourcingowych pod kątem spełnienia wymagań cyberbezpieczeństwa. Dotyczy to w szczególności zewnętrznych dostawców systemów CRM, narzędzi do scoringu kredytowego oraz platform do zarządzania polisami.
• Testy bezpieczeństwa i audyty: Regularne przeprowadzanie testów penetracyjnych, audytów bezpieczeństwa i skanowania podatności systemów IT. W branży ubezpieczeniowej szczególne znaczenie mają testy aplikacji webowych służących do sprzedaży polis online.
• Szkolenia pracowników: Zapewnienie cyklicznych szkoleń z zakresu cyberbezpieczeństwa dla wszystkich pracowników, ze szczególnym uwzględnieniem pracowników contact center, doradców finansowych i osób z dostępem do systemów back-office.
• Odpowiedzialność zarządu: Dyrektywa NIS2 wprowadza bezpośrednią odpowiedzialność członków zarządu za wdrożenie i nadzór nad środkami cyberbezpieczeństwa. Zarząd musi zatwierdzać polityki bezpieczeństwa i regularnie oceniać ich skuteczność.
• Wieloskładnikowe uwierzytelnianie (MFA): Obowiązkowe wdrożenie MFA dla wszystkich systemów zawierających dane wrażliwe klientów oraz dostępów administracyjnych do infrastruktury krytycznej.
• Szyfrowanie danych: Stosowanie silnego szyfrowania zarówno dla danych przechowywanych, jak i przesyłanych, w tym danych osobowych, historii transakcji i informacji o polisach ubezpieczeniowych.

Kroki wdrożenia w firmie z branży Finanse i ubezpieczenia

1. Przeprowadzenie analizy luk (gap analysis): Zidentyfikuj różnicę między obecnym stanem cyberbezpieczeństwa w organizacji a wymaganiami dyrektywy NIS2. Stwórz mapę wszystkich systemów IT, danych klientów i procesów krytycznych, a następnie oceń, które obszary wymagają natychmiastowej poprawy. W banku komercyjnym taka analiza powinna obejmować systemy transakcyjne, platformy bankowości internetowej, systemy zarządzania kredytami oraz infrastrukturę contact center.
2. Powołanie lub wzmocnienie zespołu ds. cyberbezpieczeństwa: Wyznacz osobę odpowiedzialną za bezpieczeństwo informacji (CISO lub równoważna rola) z bezpośrednim dostępem do zarządu. Zadbaj o odpowiednie zasoby ludzkie i budżetowe dla zespołu bezpieczeństwa. W mniejszych towarzystwach ubezpieczeniowych funkcję tę może pełnić zewnętrzny doradca ds. bezpieczeństwa na podstawie umowy.
3. Wdrożenie systemu zarządzania ryzykiem: Zbuduj lub zaktualizuj formalny rejestr ryzyk cyberbezpieczeństwa obejmujący zagrożenia specyficzne dla sektora finansowego, takie jak ataki phishingowe na doradców klientów, wycieki danych z systemów likwidacji szkód czy ataki na infrastrukturę płatniczą. Określ właścicieli ryzyk i harmonogram ich mitygacji.
4. Opracowanie i wdrożenie polityk bezpieczeństwa: Stwórz lub zaktualizuj dokumentację polityk bezpieczeństwa, procedur reagowania na incydenty i planów ciągłości działania. Dokumenty te muszą być zatwierdzone przez zarząd i dostępne dla wszystkich pracowników. Szczególną uwagę poświęć procedurom na wypadek naruszenia danych klientów, co jest scenariuszem o wysokim ryzyku w każdej instytucji finansowej.
5. Weryfikacja i kontraktowanie dostawców: Przeprowadź audyt bezpieczeństwa kluczowych dostawców zewnętrznych, w tym firm obsługujących systemy IT, dostawców chmury, agencji oceny ryzyka kredytowego i zewnętrznych call center. Zaktualizuj umowy z dostawcami, włączając do nich klauzule dotyczące spełnienia wymagań NIS2 i obowiązku raportowania incydentów.
6. Wdrożenie technicznych środków bezpieczeństwa: Zaimplementuj brakujące rozwiązania techniczne, takie jak uwierzytelnianie wieloskładnikowe, systemy wykrywania i reagowania na zagrożenia (EDR/XDR), rozwiązania do szyfrowania danych, segmentację sieci i systemy monitorowania zdarzeń bezpieczeństwa (SIEM). Dostosuj konfigurację istniejących narzędzi do aktualnych standardów bezpieczeństwa.
7. Przeprowadzenie testów i audytów: Zorganizuj testy penetracyjne aplikacji webowych, systemów transakcyjnych i infrastruktury sieciowej. Przeprowadź ćwiczenia symulacyjne (tabletop exercises) sprawdzające gotowość zespołów do reagowania na cyberatak lub wyciek danych. Wyniki testów udokumentuj i wdróż rekomendacje w określonych terminach.
8. Szkolenie pracowników i zarządu: Opracuj program szkoleń z zakresu cyberbezpieczeństwa dostosowany do różnych grup pracowników. Doradcy finansowi powinni być szkoleni w rozpoznawaniu ataków phishingowych i socjotechnicznych, pracownicy IT w zaawansowanych technikach ochrony systemów, a zarząd w rozumieniu ryzyk i obowiązkach wynikających z NIS2.
9. Rejestracja i zgłoszenie do organu nadzorczego: Skontaktuj się z właściwym organem nadzorczym, którym dla sektora finansowego jest CSIRT KNF lub odpowiedni organ wyznaczony w ustawie o KSC. Dopełnij formalności rejestracyjnych i ustal kanały raportowania incydentów zgodnie z wymaganymi terminami.
10. Monitorowanie i ciągłe doskonalenie: Wdróż procesy ciągłego monitorowania stanu cyberbezpieczeństwa, regularne przeglądy polityk i procedur oraz śledzenie nowych zagrożeń. Cyberbezpieczeństwo to proces, nie jednorazowe wdrożenie, dlatego harmonogram audytów i aktualizacji dokumentacji powinien być zaplanowany na kolejne lata.

Najczęstsze pytania

Czy NIS2 dotyczy małych firm ubezpieczeniowych i pośredników finansowych?
Dyrektywa NIS2 obejmuje podmioty z sektora finansowego na podstawie ich roli w systemie finansowym, a nie wyłącznie na podstawie wielkości. Małe zakłady ubezpieczeń, pośrednicy kredytowi i małe instytucje płatnicze mogą być objęte regulacją, jeśli świadczą usługi uznane za krytyczne lub przetwarzają znaczące wolumeny danych klientów. Zalecamy weryfikację u prawnika specjalizującego się w prawie finansowym lub bezpośrednio w organie nadzorczym.

Jakie sankcje grożą za nieprzestrzeganie NIS2 w sektorze finansowym?
Dyrektywa NIS2 przewiduje kary administracyjne do 10 milionów euro lub 2 procent całkowitego rocznego obrotu globalnego dla podmiotów kluczowych, w zależności od tego, która wartość jest wyższa. Oprócz kar finansowych organ nadzorczy może nakazać tymczasowe wstrzymanie świadczenia usług, a wobec członków zarządu zastosować indywidualne sankcje. W sektorze finansowym naruszenia NIS2 mogą też skutkować równoległymi postępowaniami ze strony KNF.

Jak NIS2 ma się do wymagań DORA dla sektora finansowego?
DORA (Digital Operational Resilience Act) to rozporządzenie unijne skierowane bezpośrednio do sektora finansowego, które weszło w życie w janvier 2025 roku. NIS2 i DORA w wielu obszarach nakładają się na siebie, jednak DORA zawiera bardziej szczegółowe wymagania techniczne dla instytucji finansowych, w tym rygorystyczne przepisy dotyczące testowania odporności operacyjnej i zarządzania dostawcami ICT. Podmioty objęte DORA powinny traktować jej wymagania jako uzupełniające wobec NIS2 i zadbać o spójność obu programów zgodności w ramach jednego systemu zarządzania.

Od kiedy obowiązują wymagania NIS2 i kiedy należy zakończyć wdrożenie?
Unijna dyrektywa NIS2 powinna być implementowana przez państwa członkowskie do października 2024 roku. W Polsce trwają prace nad nowelizacją ustawy o KSC, która przenosi wymagania dyrektywy do polskiego prawa. Podmioty z sektora finansowego powinny niezwłocznie rozpocząć lub kontynuować prace wdrożeniowe, ponieważ przepisy zaczną być egzekwowane bezpośrednio po wejściu w życie polskich przepisów implementacyjnych. Odkładanie wdrożenia zwiększa ryzyko kar i naraża instytucję na konsekwencje incydentów, którym można było zapobiec.

Podsumowanie

NIS2 to nie kolejne biurokratyczne obciążenie, lecz szansa na systematyczne wzmocnienie odporności cybernetycznej instytucji finansowej lub ubezpieczeniowej w obliczu rosnącej liczby i wyrafinowania ataków. Podmioty, które potraktują wdrożenie jako strategiczną inwestycję, a nie wyłącznie spełnienie wymogów formalnych, zyskają realną przewagę konkurencyjną w postaci wyższego zaufania klientów i mniejszego ryzyka kosztownych incydentów. Zacznij od analizy luk i zaangażuj zarząd w ten proces już dziś, zanim przepisy wejdą w życie i organy nadzorcze rozpoczną kontrole.