Dyrektywa NIS2 zmienia standardy bezpieczeństwa cyfrowego w całej Unii Europejskiej. Rozszerza obowiązki przedsiębiorstw między innymi w zakresie zarządzania ryzykiem, ochrony łańcuchów dostaw oraz raportowania incydentów bezpieczeństwa. Niespełnienie nowych wymagań może oznaczać wysokie kary – choćby do 10 mln euro lub 2 proc. globalnego rocznego obrotu firmy.
Termin implementacji dyrektywy NIS2 w państwach Unii Europejskiej minął 17 października 2024 r. Polska przyjęła nowelizację ustawy o KSC dopiero po niemal 18 miesiącach od tego terminu. Opóźnienia we wdrażaniu przepisów dotyczyły również innych państw członkowskich.
Jednocześnie podpisana ustawa została skierowana przez prezydenta do Trybunału Konstytucyjnego. Sędziowie mają ocenić wybrane przepisy i sprawdzić ich zgodność z konstytucją. Nie zmienia to jednak faktu, iż przedsiębiorstwa muszą już przygotowywać się do nowych obowiązków.
Firmy działały w warunkach niepewności
Długi proces legislacyjny sprawił, iż przedsiębiorstwa przez wiele miesięcy nie miały pewności, jakie dokładnie obowiązki będą je dotyczyć. Wiele firm odkładało decyzje inwestycyjne związane z cyberbezpieczeństwem, czekając na ostateczny kształt przepisów.
Badanie Fortinet przeprowadzone w 2024 r. pokazało, iż trzy czwarte polskich przedsiębiorstw słyszało o dyrektywie NIS2. Jednocześnie ponad połowa nie wiedziała, czy nowe regulacje ich dotyczą. Najczęściej wskazywane wyzwania dotyczyły wdrożenia polityki zarządzania ryzykiem i bezpieczeństwa systemów IT oraz zapewnienia ciągłości działania biznesu.
– Świadomość cyberzagrożeń wśród przedsiębiorców cały czas rośnie, ale bez ostatecznego kształtu przepisów trudno się dziwić, iż wiele firm wstrzymywało się z decyzjami inwestycyjnymi. W praktyce przedsiębiorstwa analizowały scenariusze, nie mając pewności, które obowiązki będą je dotyczyć i w jakim zakresie. Teraz ten etap się kończy, a podpisana ustawa oznacza konieczność przejścia od analiz do konkretnych działań – mówi Joanna Chmielak, kierownik ds. sprzedaży dla przedsiębiorstw w firmie Fortinet.
Nowe obowiązki dla wielu sektorów gospodarki
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa obejmuje 18 sektorów gospodarki. Zgodnie z dyrektywą NIS2 wprowadzono także podział na podmioty najważniejsze oraz ważne, które będą objęte różnym poziomem nadzoru regulacyjnego.
Firmy będą musiały samodzielnie ocenić, czy podlegają nowym przepisom oraz do której kategorii powinny zostać przypisane. Konieczna będzie również rejestracja we adekwatnym organie. To oznacza, iż odpowiedzialność za prawidłową interpretację przepisów spoczywa bezpośrednio na przedsiębiorstwach. A błędy mogą skutkować sankcjami administracyjnymi oraz poważnym ryzykiem finansowym i wizerunkowym.
Regulacji będzie coraz więcej
Eksperci zwracają uwagę, iż firmy funkcjonują dziś w środowisku coraz bardziej złożonych regulacji dotyczących cyberbezpieczeństwa. Wraz ze wzrostem liczby cyberataków rośnie także presja legislacyjna. Z badań Fortinet wynika, iż ponad 30 proc. polskich przedsiębiorstw wspiera się międzynarodowymi standardami bezpieczeństwa, najczęściej normą ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji. Takie podejście pomaga uporządkować procesy i utrzymać kontrolę nad cyberochroną niezależnie od zmian w przepisach.
Dyrektywa NIS2 to tylko jeden z elementów większego pakietu regulacyjnego w Unii Europejskiej. Równolegle wdrażana jest dyrektywa Critical Entities Resilience (CER). W życie wchodzą też kolejne regulacje, takie jak Cyber Resilience Act oraz AI Act.
– Największym wyzwaniem nie jest dziś pojedyncza regulacja, ale zdolność przedsiębiorstwa do budowy trwałego modelu zarządzania cyberbezpieczeństwem. Wiele firm wciąż traktuje cyfrową ochronę projektowo, kończąc na dostawie sprzętu i „odhaczeniu” wymagań formalnych. Jednak bez utrzymania systemów i ich aktualizacji takie inwestycje są krótkoterminowe i w praktyce kilka zmieniają. Poza kupowanym sprzętem potrzebne jest również inwestowanie w wiedzę i długofalowe wsparcie ekspertów. Bezpieczeństwo wymaga bowiem nie tylko rozwiązań technicznych, ale też dojrzałych procesów i kompetencji, których w wielu przedsiębiorstwach wciąż brakuje – mówi ekspertka z Fortinet.
W najbliższych latach zgodność z przepisami dotyczącymi cyberbezpieczeństwa będzie weryfikowana w praktyce, poprzez kontrole, audyty i konieczność przedstawienia dowodów spełniania wymogów. Dla wielu przedsiębiorstw oznacza to początek głębszych zmian w sposobie zarządzania bezpieczeństwem cyfrowym.
Przeczytaj także:
- Polacy patrzą na mieszkania z dystansem. Ostrożność wygrywa z entuzjazmem
- Krótkowzroczność to już nie tylko problem zdrowotny. Europa płaci za nią miliardy
- Kobiety zarabiają mniej i rzadziej są zadowolone z pensji. Nowy raport
