W 2024 roku organizacje muszą dostosować się do nowych unijnych regulacji, m.in. NIS2 i DORA związanych z cyberbezpieczeństwem, oraz KSeF, elektronicznym obiegiem faktur. Nie wszystko jest jeszcze jasne, jeśli chodzi o wdrażanie nowych wymagań – firmy czekają na konkretne decyzje rządzących związane z nadchodzącymi regulacjami, a czasu jest coraz mniej.

NIS2: nowe podmioty objęte regulacjami

Dyrektywa NIS2 dotycząca bezpieczeństwa sieci i systemów informatycznych wymaga wdrożenia odpowiednich środków ochrony i zgłaszania naruszeń przez firmy i organizacje. Rozszerza ona zarówno zakres przepisów z dyrektywy NIS na nowe sektory i podmioty, jak również stawia organizacjom nowe wymagania. Dotyczy m.in. sektora energetyki, opieki zdrowotnej, firm IT, bankowości i finansów, transportu, gospodarowania ściekami, usług pocztowych i kurierskich, produkcji, przetwarzania i dystrybucji żywności. Do nowych regulacji trzeba dostosować się do 17 października 2024 r.

Szczególną uwagę muszą zwrócić firmy z wskazanych w dyrektywie branż, które zatrudniają więcej niż 250 pracowników lub ich roczne obroty przekraczają 50 mln euro. Są jednak sektory, w których nowe wymagania obowiązują niezależnie od wielkości firmy. W najgorszej sytuacji mogą znaleźć się firmy z sektorów, które wcześniej nie podlegały regulacjom i nie zatrudniają specjalistów ds. cyberbezpieczeństwa lub nie posiadają rozbudowanych kompetencji IT” – zauważa Sebastian Toczewski, IT Security Manager w Beyond.pl.

DORA także dla firm IT

DORA to unijne rozporządzenie o operacyjnej odporności cyfrowej, które zaostrza wymogi w zakresie bezpieczeństwa IT wobec podmiotów działających na rynkach finansowych, w tym banków, firm ubezpieczeniowych, fin-techów, ale też dostawców usług ICT obsługujących tę branżę.

Krajowe podmioty muszą dostosować się do DORA do 17 stycznia 2025 r. Jego wdrożenie będzie nadzorować KNF.

DORA wymusi profesjonalizację dostawców usług IT obsługujących podmioty finansowe, wzmocni znaczenie partnerów technologicznych z certyfikacjami i wygeneruje popyt na usługi zwiększające ciągłość działania, takie jak backup idisaster recovery” – uważa Sebastian Toczewski.

Na dostosowanie do KseF potrzeba nawet 12 miesięcy

KSeF to system umożliwiający wystawianie i odbieranie faktur ustrukturyzowanych. Będzie obowiązkowy od 1 lipca 2024 r. dla wszystkich transakcji B2B. To jednak zdaniem ekspertów stoi pod znakiem zapytania.

Jeśli Ministerstwo Finansów nie udostępni przed końcem tego roku wszystkich dokumentów, aby firmy i organizacje mogły dostosować i połączyć swoje systemy finansowo-księgowe z KSeFem, do połowy 2024 roku na wdrożenie oraz testy zostanie bardzo mało czasu.

Według danych resortu do połowy listopada 2023 r. niewielki odsetek firm, bo 690, wystawiło faktury w KSeF. W sumie dokumentów było 31 tys.

Firmy znajdują się obecnie w zawieszeniu. Co prawda jest już API i niektóre rozporządzenia, ale nad innymi wciąż trwają prace. Czas gra zdecydowanie na niekorzyść przedsiębiorców, bo szacujemy, że dostosowanie się do wymogów KSeF może zająć nawet 12 miesięcy” –twierdzi Tomasz Kuciel z Editel Polska.

Warto dodać, że przez pierwsze pół roku obowiązywania nowych przepisów nie będzie kar dla firm i organizacji za naruszenie regulacji KseF. Te grożą od 1 stycznia 2025 r.

Może zabraknąć środków w budżetach

Brak konkretnych decyzji administracyjnych i edukacji wszystkich zainteresowanych sektorów na temat zmian sprawia, że zarządzający organizacjami wstrzymują się z decyzjami i mogą mieć problemy z planowaniem budżetów koniecznych na dostosowanie się do NIS2, DORA i KseF.