– Szacuje się, iż około 60 proc. organizacji może nie być jeszcze przygotowanych na spełnienie wymagań unijnej dyrektywy NIS2 – mówi Paweł Śmigielski, country manager Stormshield. Mowa o dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Akt prawny rozszerza zakres podmiotów objętych regulacją. Niespełnienie wymagań wiąże się z wysokimi karami.
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE (tzw. dyrektywa NIS2) weszła w życie 16 stycznia 2023 roku. Państwa członkowskie muszą ją wdrożyć do swojego porządku prawnego najpóźniej do 17 października 2024 roku. Jak wynika z ocen ekspertów, ponad połowa podmiotów może nie być gotowa na nowe przepisy.
Czytaj też >> Polskie firmy poniżej unijnej średniej pod względem cyfryzacji
Aż 60% firm nie jest gotowych na wdrożenie NIS2
– Około 60 proc. organizacji może nie być jeszcze przygotowane na spełnienie wymagań dyrektywy NIS2. Powodów tego stanu rzeczy jest kilka. Jednym z podstawowych jest to, iż wciąż brakuje polskiego aktu prawnego, który wprowadzałby dyrektywę NIS2 do porządku prawnego w Polsce, czyli adekwatnie mówimy o nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – mówi Paweł Śmigielski, country manager Stormshield.
To jednak nie koniec listy problemów, przed którymi stoją organizacje w Polsce. Pierwszym z nich jest brak specjalistów zajmujących się cyberbezpieczeństwem. Szacuje się, iż tylko w 2023 roku brakowało nad Wisłą od 10 tys. do choćby kilkunastu tysięcy fachowców z tej dziedziny. Do tego dochodzą różne aspekty związane z przygotowaniem się do nowych wymagań w zakresie finansowym.
Zasadniczą różnicą względem wcześniejszego aktu NIS, który uchwalono w połowie poprzedniej dekady, jest szerszy zakres podmiotów, które zostały objęte tą regulacją. Dotyczy m.in. takich obszarów jak:
- bezpieczeństwo łańcuchów dostaw,
- mechanizmy kontrolne i nadzorcze,
- obowiązki informacyjne,
- zasady raportowania o zaistniałych incydentach.
NIS2 – jakie zmiany wprowadza?
– Dyrektywa NIS2 wprowadza kilka zmian w porównaniu do pierwszej części dyrektywy i naszego krajowego aktu, czyli ustawy o krajowym systemie cyberbezpieczeństwa. Pierwszą poważną zmianą jest rozszerzenie listy podmiotów, które będą objęte regulacją. I tu na przykład dyrektywa NIS2 obejmuje swoimi wymaganiami także jednostki administracji publicznej. Są to także przedsiębiorstwa, które zajmują się ściekami. Co jest istotne, także operatorzy pocztowi i kurierzy zostali objęci nową dyrektywą – mówi country manager Stormshield.
Dyrektywa wprowadza także podział organizacji na podmioty najważniejsze oraz ważne. Co istotne, wpływa to na wysokość kar, jakie mogą zostać nałożone w przypadku niespełnienia wymagań.
Kto poniesie karę?
– Kary w przypadku podmiotów kluczowych można liczyć do 10 mln euro lub też 2 proc. rocznego obrotu. Natomiast w przypadku operatorów podmiotów ważnych te kary mogą wynieść do 7 mln euro bądź też 1,4 proc. rocznych obrotów – wylicza ekspert.
Dyrektywa NIS2 oznacza obarczenie odpowiedzialnością za niespełnienie wymagań m.in. zarządy spółek czy kadrę kierowniczą. To oznacza, iż na konkretne osoby zajmujące czołowe stanowiska mogą być nałożone kary finansowe, a choćby zakaz pełnienia funkcji publicznych. Nowe prawo nakłada również nowe obowiązki.
– Dyrektywa określa, iż dana organizacja w ciągu 24 godz. powinna poinformować odpowiednie organy o incydencie, który miał miejsce. Natomiast w ciągu 72 godz. należy wysłać bardziej szczegółową informację o tym incydencie. Natomiast kolejny obowiązek, na który zwracam uwagę, to zapewnienie odpowiednich środków proporcjonalnych do szacowanego ryzyka – mówi Paweł Śmigielski.
W praktyce oznacza to przede wszystkim zapewnienie środków technicznych i organizacyjnych, które mają się przełożyć na podniesienie poziomu bezpieczeństwa w danym podmiocie. Ekspert tłumaczy, iż te przepisy nie będą de facto dotyczyły samego przedsiębiorstwa, ale także jego otoczenia.
– Organizacja, oprócz tego, iż musi zadbać o bezpieczeństwo swoich systemów teleinformatycznych, powinna także zwrócić uwagę i sprawdzać, jak wygląda stopień bezpieczeństwa czy stopień spełniania dyrektywy NIS2 u swoich dostawców i podwykonawców. To jest dość duża zmiana i z punktu widzenia specjalistów zajmujących się cyberbezpieczeństwem dość istotna – podkreśla.
![„Nowoczesny Przemysł” nr 2/2024 [kwiecień/maj]](https://i0.wp.com/nowoczesny-przemysl.pl/wp-content/uploads/2024/05/grafika-800x500-czasopismo-1.jpg)