Dziś mija termin wdrożenia dyrektywy NIS2, która nakłada na przedsiębiorstwa i administrację publiczną dodatkowe wymogi w zakresie cyberbezpieczeństwa. Jednak nadal aż 21 proc. przedsiębiorstw nie jest gotowych na ich spełnienie, a 65 proc. jest w trakcie przygotowań – wynika z danych Asseco Cloud

Wśród usług, które mają zapewnić zgodność z NIS2, pytane organizacje najczęściej wymieniają:
• Monitorowanie i zarządzanie incydentami oraz zagrożeniami – 50%
• Backup bezpieczeństwa danych – 46%
• Disaster Recovery as a Service – 18%

NIS2 dotyczy nawet kilkanastu tysięcy podmiotów w Polsce

Według szacunków PwC NIS2 obejmie ponad 6 tys. organizacji działających w Polsce, natomiast ocena EY mówi aż o kilkunastu tysiącach zobligowanych firm (w 18 sektorach). Wg dyrektywy to tzw. podmioty kluczowe reprezentujące m.in. sektor energetyczny, finansowy, transport, ochronę zdrowia, administrację oraz podmioty ważne, np. firmy kurierskie, pocztowe, produkcyjne, dostawcy usług cyfrowych. Co istotne, pod NIS2 w praktyce podlegają również przedsiębiorstwa znajdujące się w łańcuchu dostaw organizacji ujętych w rozporządzeniu, co znacznie wydłuża listę takich firm.

Na mocy NIS2, organizacje muszą wdrożyć zaawansowane środki techniczne i organizacyjne, wprowadzić właściwe polityki bezpieczeństwa, zapewnić ciągłość działania w przypadku wystąpienia cyberincydentu. Dyrektywa wprowadza również obowiązek regularnej analizy i oceny ryzyka, a ponadto monitorowania i raportowania poważnych incydentów w ciągu 24 godzin od ich wykrycia.

Kary dla podmiotów niestosujących się do przepisów dyrektywy mogą sięgać do 10 mln euro lub 2 proc. światowych obrotów dla podmiotów kluczowych i 7 mln euro lub 1,4 proc. obrotów dla podmiotów z branż uznanych za ważne.