Dyrektywa NIS2 czyli dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE weszła w życie 16 stycznia 2023 roku. Państwa członkowskie UE maja czas na jej wdrożenie do 17 października 2024 roku. Eksperci jednak przekonują, że Polska będzie mieć problemy z utrzymaniem terminu, a wiele podmiotów nie jest gotowych na nowe przepisy.
Polska – jak inne kraje UE – ma czas na wdrożenie dyrektywy NIS2 do 17 października 2024 roku. Jednak może mieć z tym problem. Przede wszystkim 25 proc. firm w kraju nie wie nawet, że jest objętych dyrektywą.
– Około 60 proc. organizacji może nie być jeszcze przygotowane na spełnienie wymogów dyrektywy NIS2. Powodów tego stanu rzeczy jest kilka i jednym z podstawowych jest to, że wciąż brakuje polskiego aktu prawnego, który wprowadzałby dyrektywę NIS2 do porządku prawnego w Polsce, czyli właściwie mówimy o nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – mówi Paweł Śmigielski, country manager Stormshield.
Jakie problemy stoją przed organizacjami w Polsce?
Pierwszym problemem jest brak specjalistów zajmujących się cyberbezpieczeństwem. W 2023 r. brakowało między dziesięć a kilkanaście tysięcy fachowców. Wdrożenie dyrektywy to dla podmiotów również wymogi finansowe, na które wiele nie jest gotowych.
Pierwszym z nich jest brak specjalistów zajmujących się cyberbezpieczeństwem. Szacuje się, że tylko w 2023 roku brakowało nad Wisłą od 10 tys. do nawet kilkunastu tysięcy fachowców z tej dziedziny. Do tego dochodzą różne aspekty związane z przygotowaniem się do nowych wymogów w zakresie finansowym.
Różnicą w stosunku do wcześniejszego aktu NIS jest to, że NIS2 zwiększa liczbę podmiotów, które mu podlegają. Dotyczy obszarów takich jak:
– bezpieczeństwa łańcucha dostaw,
– mechanizmów kontrolnych i nadzorczych,
– obowiązków informacyjnych,
– zasad raportowania o zaistniałych incydentach.
– Dyrektywa NIS2 wprowadza kilka zmian w porównaniu do pierwszej części dyrektywy i naszego krajowego aktu, czyli ustawy o krajowym systemie cyberbezpieczeństwa, przede wszystkim pierwszą poważną zmianą jest rozszerzenie listy podmiotów, które będą objęte regulacją. I tu na przykład dyrektywa NIS2 obejmuje swoimi wymaganiami także jednostki administracji publicznej. Są to także przedsiębiorstwa, które zajmują się ściekami i, co jest istotne, szczególnie w świetle ataków, z którymi mamy na co dzień do czynienia, także operatorzy pocztowi i kurierzy zostali objęci nową dyrektywą – wyjaśnia country manager Stormshield.
Kary za brak odpowiednich działań zgodnych z NIS2
Dyrektywa NIS2 zmienia też kwestie kar dotyczących niedrożenia odpowiednich rozwiązań. Zmiana organizacji na podmioty kluczowe oraz ważne wpływa na wysokość takich kar. Ponadto obarcza odpowiedzialnością za niespełnienie wymagań m.in. zarządy spółek czy kadrę kierowniczą. Nakłada również nowe obowiązki.
– Jest określone w dyrektywie, że dana organizacja w ciągu 24 godz. powinna poinformować odpowiednie organy o incydencie, który miał miejsce, natomiast w ciągu 72 godz. powinna zostać wysłana bardziej szczegółowa informacja o tym incydencie. Natomiast kolejny obowiązek, na który zwracam uwagę, to zapewnienie odpowiednich środków proporcjonalnych do szacowanego ryzyka – mówi Paweł Śmigielski – Kary w przypadku podmiotów kluczowych mogą być liczone do 10 mln euro lub też 2 proc. rocznego obrotu, natomiast w przypadku operatorów podmiotów ważnych te kary mogą wynieść do 7 mln euro bądź też 1,4 proc. rocznych obrotów – dodaje ekspert.
Podmiot musi zatem zapewnić odpowiednie środki techniczne i organizacyjne przekładające się na podniesienie poziomu bezpieczeństwa w danym. Przepisy sformułowane są w taki sposób, że dotyczą nie tylko samego podmiotu, ale też jego otoczenia.
– Organizacja, oprócz tego, że musi zadbać o bezpieczeństwo swoich systemów teleinformatycznych, powinna także zwrócić uwagę i sprawdzać, jak wygląda stopień bezpieczeństwa czy stopień spełniania dyrektywy NIS2 u swoich dostawców i podwykonawców. To jest dość duża zmiana i z punktu widzenia specjalistów zajmujących się cyberbezpieczeństwem dość istotna – wyjaśnia Śmiegielski.
Dyrektywa NIS2 to również wymóg szkoleń obejmujących członków zarządu i kadrę kierowniczą.
Polskie firmy zaskoczone dyrektywą NIS2
Dla wielu firm zaskoczeniem jest fakt, że podlegają pod dyrektywę NIS2.
– Wiele z nich nie jest przygotowanych, a szacuje się, że 1/4 firm w Polsce nawet nie wie, że powinny być objęte dyrektywą NIS2. Tak że to już stanowi dość duże wyzwanie na samym początku, bo przypomnijmy, że czas, który został nałożony, to jest październik 2024 roku na przystosowanie naszych organizacji do wymogów dyrektywy NIS2 – mówi country manager Stormshield.
Przygotowanie do obsługi incydentów jest jednak ważne nie tylko z uwagi na przepisy prawne i możliwość nakładania kar, za ich niestosowanie, ale z uwagi na bezpieczeństwo firmy i jej klientów. Niedawno doszło do poważnych incydentów w obszarze cyberbezpieczeństwa związanych z jednym laboratorium czy platformami dostawców.
Ale eksperci są zgodni, że oprócz takich dużych i głośnych incydentów, w każdy tygodniu pojawiają się mniejsze. Ich liczba będzie rosnąć.
– Z mojego punktu widzenia warto zaznaczyć, że incydent to jest coś, czego nie należy się bać. Incydenty były, są i będą i także dyrektywa NIS2 kładzie na to duży nacisk, żeby firmy czy organizacje przygotowywały plany ciągłości działania i budowały kompetencje w zakresie cyberodporności, czyli przywracania firmy, organizacji do normalnego funkcjonowania po wystąpieniu incydentu – stwierdza ekspert.
Źródło: biznes.newseria.pl
