Aż 34 proc. firm w Europie obawia się regulacji w zakresie cyberbezpieczeństwa – według IDC. Na drugim miejscu (29 proc.) są wymagania związane z zapewnieniem suwerenności danych, a na trzecim (28 proc.) – ze zrównoważonym rozwojem.

Te ostatnie budzą więcej wątpliwości w krajach Europy Zachodniej, natomiast w naszym regionie, w tym w Polsce, przepisy dotyczące cyberodporności są zmorą przedsiębiorców i wysuwają się na pierwszy plan. Chodzi głównie o NIS 2 i DORA. 

NIS2 – aktualizacja dyrektywy NIS w sprawie bezpieczeństwa sieci i systemów informatycznych – wprowadza regulacje dotyczące infrastruktury krytycznej.

DORA (Digital Operational Resilience Act) obejmuje sektor finansowy i firmy świadczące usługi ICT oraz infrastrukturalne dla podmiotów z sektora finansowego.

Dla wielu firm oznaczają one kosztowne obowiązki i wyzwania związane z koniecznością dostosowania się do wymogów w określonym terminie. A jest ich wiele.  

Zaostrzone przepisy także dla małych firm

NIS2 wejdzie w życie 17 października 2024 r. Tak jak w przypadku RODO, wiele organizacji czeka do ostatniej chwili.

Największy problem mają przedsiębiorstwa, które wcześniej nie podlegały żadnym regulacjom w zakresie cyberbezpieczeństwa a dyrektywa NIS2 to zmieniła – rozszerzono wymagania o kolejne sektory gospodarki i podmioty różnej wielkości.

Do stosowania nowej dyrektywy będą zobowiązane również mikro- i małe przedsiębiorstwa, które spełnią kryteria dyrektywy, wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.  

„To dla nich bardzo duża zmiana, bo regulacje obejmują nie tylko kwestie technologiczne, ale też organizacyjne. Analiza ryzyka, szkolenia, działania zmierzające do zapewnienia bezpieczeństwa łańcucha dostaw, obsługa incydentów – to wszystko jest zawarte w nowych przepisach i wymaga procedur, technologii i ludzi. A tych brakuje” – zwraca uwagę Wiktor Markiewicz z IDC.  

Według danych DESI 2022 w Polsce brakuje 50 tys. osób specjalistów IT z czego nawet 20 proc. stanowią eksperci ds. cyberbezpieczeństwa.

Nawet 10 mln euro kary

Szczególnie obsługa incydentów jest newralgiczna. Firmy będą musiały przekazać raport „o wczesnym ostrzeżeniu” w ciągu 24 godzin od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godzin. Mają miesiąc na przedstawienie ostatecznego raportu.

Niedopełnienie tego obowiązku może skutkować karami finansowymi w wysokości od 1,4 proc. globalnego obrotu lub 7 mln euro (w zależności od tego, która kwota jest wyższa) oraz do 2 proc. globalnego obrotu lub 10 mln euro w przypadku Istotnych podmiotów.

Oprócz kar finansowych, NIS-2 przewiduje też odpowiedzialność osobistą za nieprzestrzeganie przepisów, jak czasowy zakaz pełnienia funkcji kierowniczych, w tym w zarządach i radach nadzorczych. 

Firmy muszą szykować się na kontrole

NIS 2 przewiduje, że odpowiednie organy będą mogły m.in. prowadzić kontrole, audyty i skany bezpieczeństwa, występować z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przed dany podmiot.