Nowe regulacje takie jak NIS 2 czy DORA to powód do obaw przedsiębiorstw. Głównie dotyczy to tych, które wcześniej nie podlegały regulacjom dotyczącym ochrony cyfrowej. Badania wskazują, że 34 proc. przedsiębiorstw w całej Europie obawia się nowych regulacji. Podobnie wygląda sytuacja w Polsce.
Według IDC 34 proc. przedsiębiorstw w Europie ma obawy związane z regulacjami ws. cyberbezpieczeństwa. U 29 proc. obawy związane są z zapewnieniem suwerenności danych, a dla 28 proc. problematyczne są wytyczne dla zrównoważonego rozwoju. W Polsce największe obawy budzą NIS 2 i DORA.
NIS2 i DORA – czym są?
NIS2 to aktualizacja dyrektywy NIS w sprawie bezpieczeństwa sieci i systemów informatycznych. Wprowadza ona regulacje dotyczące infrastruktury krytycznej. W życie wejdzie 17 października 2024 r.
DORA czyli Digital Operational Resilience Act dotyczy sektora finansowego oraz firm świadczących usługi ICT czy strukturalne dla podmiotów sektora finansowego.
Wprowadzenie tych regulacji to dla wielu firm nowe koszty, obowiązki i wyzwania dostosowania się do wymogów w odpowiednim terminie.
Nowe przepisy obowiązują też mniejsze firmy
Dla wielu przedsiębiorstw NIS2 to totalna zmiana sytuacji. Wcześniej nie podlegały regulacjom w zakresie cyberbezpieczeństwa, teraz to się zmieni. Rozszerzono bowiem wymagania o kolejne sektory gospodarki i podmioty różnej wielkości.
NIS2 będzie obowiązywać także mikro- i małe przedsiębiorstwa spełniające kryteria dyrektywy. Chodzi o ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.
– To dla nich bardzo duża zmiana, bo regulacje obejmują nie tylko kwestie technologiczne, ale też organizacyjne. Analiza ryzyka, szkolenia, działania zmierzające do zapewnienia bezpieczeństwa łańcucha dostaw, obsługa incydentów – to wszystko jest zawarte w nowych przepisach i wymaga procedur, technologii i ludzi. A tych brakuje – zauważa Wiktor Markiewicz z IDC.
Sytuacje będzie tym trudniejsza, że dane DESI wskazują, że w 2022 r. w Polsce brakowało 50 tys. osób specjalistów IT. 20 proc. z tych braków dotyczyło ekspertów ds. cyberbezpieczeństwa.
Szykują się kontrole i kary
Najtrudniejsza wydaje się obsługa incydentów. Zgodnie z zapisami firmy będą zobowiązane przekazywać raporty o „wczesnym ostrzeżeniu” w ciągu 24 godzin od momentu jego wykrycia. Potem mają 72 godziny na przeprowadzenie jego wstępnej oceny. Na ostateczny raport mają miesiąc.
NIS 2 przewiduje kontrole, audyty i skany bezpieczeństwa przeprowadzane przez odpowiednie organy. Będą one także mogły występować z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przed daną firmę.
W przypadku niewypełnienia obowiązków na przedsiębiorstwo może być nałożona kara w wysokości od 1,4 proc. globalnego obrotu lub 7 mln euro. System naliczania kary zależny będzie od tego, które kwota będzie wyższa. Ponadto firma może zostać ukarana karą do 2 proc. globalnego obrotu lub 10 mln euro w przypadku, gdy jest uznana za „podmiot istotny”.
NIS-2 przewiduje również odpowiedzialność osobistą za nieprzestrzeganie przepisów. Karą w takim wypadku będzie czasowy zakaz pełnienia funkcji kierowniczych. Dotyczy także zarządów i rad nadzorczych.
Źródło: crn.pl