Polskie firmy obawiają się nowych regulacji ws. cyberbezpieczeństwa
Został rok. Największy problem mają przedsiębiorstwa, które wcześniej nie podlegały żadnym regulacjom w zakresie ochrony cyfrowej.
Co trzecia firma w Europie obawia się dostosowania do nowych przepisów. Polska nie jest wyjątkiem.
Aż 34 proc. firm w Europie obawia się regulacji w zakresie cyberbezpieczeństwa – według IDC. Na drugim miejscu (29 proc.) są wymagania związane z zapewnieniem suwerenności danych, a na trzecim (28 proc.) – ze zrównoważonym rozwojem.
Te ostatnie budzą więcej wątpliwości w krajach Europy Zachodniej, natomiast w naszym regionie, w tym w Polsce, przepisy dotyczące cyberodporności są zmorą przedsiębiorców i wysuwają się na pierwszy plan. Chodzi głównie o NIS 2 i DORA.
NIS2 – aktualizacja dyrektywy NIS w sprawie bezpieczeństwa sieci i systemów informatycznych – wprowadza regulacje dotyczące infrastruktury krytycznej.
DORA (Digital Operational Resilience Act) obejmuje sektor finansowy i firmy świadczące usługi ICT oraz infrastrukturalne dla podmiotów z sektora finansowego.
Dla wielu firm oznaczają one kosztowne obowiązki i wyzwania związane z koniecznością dostosowania się do wymogów w określonym terminie. A jest ich wiele.
Zaostrzone przepisy także dla małych firm
NIS2 wejdzie w życie 17 października 2024 r. Tak jak w przypadku RODO, wiele organizacji czeka do ostatniej chwili.
Największy problem mają przedsiębiorstwa, które wcześniej nie podlegały żadnym regulacjom w zakresie cyberbezpieczeństwa a dyrektywa NIS2 to zmieniła – rozszerzono wymagania o kolejne sektory gospodarki i podmioty różnej wielkości.
Do stosowania nowej dyrektywy będą zobowiązane również mikro- i małe przedsiębiorstwa, które spełnią kryteria dyrektywy, wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.
„To dla nich bardzo duża zmiana, bo regulacje obejmują nie tylko kwestie technologiczne, ale też organizacyjne. Analiza ryzyka, szkolenia, działania zmierzające do zapewnienia bezpieczeństwa łańcucha dostaw, obsługa incydentów – to wszystko jest zawarte w nowych przepisach i wymaga procedur, technologii i ludzi. A tych brakuje” – zwraca uwagę Wiktor Markiewicz z IDC.
Według danych DESI 2022 w Polsce brakuje 50 tys. osób specjalistów IT z czego nawet 20 proc. stanowią eksperci ds. cyberbezpieczeństwa.
Nawet 10 mln euro kary
Szczególnie obsługa incydentów jest newralgiczna. Firmy będą musiały przekazać raport „o wczesnym ostrzeżeniu” w ciągu 24 godzin od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godzin. Mają miesiąc na przedstawienie ostatecznego raportu.
Niedopełnienie tego obowiązku może skutkować karami finansowymi w wysokości od 1,4 proc. globalnego obrotu lub 7 mln euro (w zależności od tego, która kwota jest wyższa) oraz do 2 proc. globalnego obrotu lub 10 mln euro w przypadku Istotnych podmiotów.
Oprócz kar finansowych, NIS-2 przewiduje też odpowiedzialność osobistą za nieprzestrzeganie przepisów, jak czasowy zakaz pełnienia funkcji kierowniczych, w tym w zarządach i radach nadzorczych.
Firmy muszą szykować się na kontrole
NIS 2 przewiduje, że odpowiednie organy będą mogły m.in. prowadzić kontrole, audyty i skany bezpieczeństwa, występować z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przed dany podmiot.
Podobne aktualności
Rynek bezpieczeństwa sieci przerwał spadkową passę
"Wyniki potwierdzają trwałe przejście w kierunku architektur skoncentrowanych na chmurze" – komentuje dyrektor.
Mieszane wyniki sprzedaży przełączników
Centra danych inwestują w switche o coraz większej prędkości. Cisco straciło sporą część udziału w rynku.