„Szacuje się, że około 60 proc. organizacji może nie być jeszcze przygotowanych na spełnienie wymogów unijnej dyrektywy NIS2” – mówi Paweł Śmigielski, country manager Stormshielda, dla agencji Newseria Biznes.

Dyrektywa dotyczy zwiększenia poziomu cyberbezpieczeństwa i rozszerza zakres podmiotów objętych dotąd regulacją NIS z kilkuset do nawet kilkunastu tysięcy. „Szacuje się, że 1/4 firm w Polsce nawet nie wie, że powinny być objęte dyrektywą NIS2” – mówi Paweł Śmigielski.

Wciąż brakuje polskich przepisów

Jednym z podstawowych powodów nieprzygotowania polskich podmiotów jest to, że nadal brakuje aktu prawnego, który wprowadzałby dyrektywę NIS2, tj. nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – wyjaśnia menedżer Stormshielda.

To jednak nie koniec listy problemów. Pierwszym z nich jest brak specjalistów ds. cyberbezpieczeństwa. Szacuje się, że w 2023 roku brakowało ich nad Wisłą co najmniej 10 tys. Do tego dochodzi konieczność wydatków, by przygotować się do nowych wymogów.

NIS2 dotyczy m.in. takich obszarów jak bezpieczeństwo łańcuchów dostaw, mechanizmy kontrolne i nadzorcze, obowiązki informacyjne, a także zasady raportowania o zaistniałych incydentach.

Obejmuje swoimi wymaganiami m.in. jednostki administracji publicznej, operatorów pocztowych, kurierów.

Dyrektywa wprowadza podział organizacji na podmioty kluczowe i ważne. Wpływa to na wysokość kar za niespełnienie wymagań.

10 mln euro kary
Kary dla podmiotów kluczowych wynoszą do 10 mln euro lub 2 proc. rocznego obrotu, a dla podmiotów ważnych do 7 mln euro albo 1,4 proc. rocznych obrotów.

Co istotne, osobista odpowiedzialność za niespełnienie wymagań NIS2 spoczywa m.in. na zarządach spółek. Menedżerom grożą kary finansowe i zakaz pełnienia funkcji publicznych.

Czego wymaga od firm NIS2

Organizacja w ciągu 24 godz. powinna poinformować odpowiednie organy o incydencie, a w ciągu 72 godz. wysłać szczegółową informację o zdarzeniu. Istotny obowiązek to zapewnienie odpowiednich środków proporcjonalnych do szacowanego ryzyka.

W praktyce oznacza to zapewnienie środków technicznych i organizacyjnych, które podniosą poziom bezpieczeństwa organizacji. Bardzo ważne jest to, że przepisy nie będą de facto dotyczyły samego przedsiębiorstwa, ale także jego otoczenia.

„Organizacja, oprócz tego, że musi zadbać o bezpieczeństwo swoich systemów teleinformatycznych, powinna także zwrócić uwagę i sprawdzać, jak wygląda stopień bezpieczeństwa czy stopień spełniania dyrektywy NIS2 u swoich dostawców i podwykonawców” – podkreśla Paweł Śmigielski.

NIS2 wprowadza wymóg szkoleń dla zarządów i kadry kierowniczej. W przypadku szeregowych pracowników mówi się o zachowaniu cyberhigieny.

Według badania EY 36 proc. ankietowanych firm nie analizowało jeszcze NIS2, 30 proc. przyjrzało się temu zagadnieniu, ale nie stwierdziło istotnego wpływu na sposób działania. To może oznaczać, że nie wszystkie organizacje zdają sobie w pełni sprawę, jakie następstwa niesie NIS2. Mowa o takich aspektach jak np. raportowanie zagrożeń czy obowiązek szyfrowania.

Źródło: Newseria Biznes

Jakie produkty, rozwiązania i usługi powinny szczególnie zainteresować klientów w kontekście NIS2 piszemy w artykule w CRN Polska i w numerze 3/2024 CRN (str. 26).