– Szacuje siÄ™, że okoÅ‚o 60 proc. organizacji może nie być jeszcze przygotowanych na speÅ‚nienie wymogów unijnej dyrektywy NIS2 – mówi PaweÅ‚ Åšmigielski, country manager Stormshield. Mowa o dyrektywie w sprawie Å›rodków na rzecz wysokiego wspólnego poziomu cyberbezpieczeÅ„stwa na terytorium Unii Europejskiej. Akt prawny rozszerza zakres podmiotów objÄ™tych regulacjÄ…. NiespeÅ‚nienie wymogów wiąże siÄ™ z wysokimi karami.
Dyrektywa w sprawie Å›rodków na rzecz wysokiego wspólnego poziomu cyberbezpieczeÅ„stwa na terytorium UE (tzw. Dyrektywa NIS2) weszÅ‚a w życie 16 stycznia 2023 roku. PaÅ„stwa czÅ‚onkowskie muszÄ… jÄ… wdrożyć do swojego porzÄ…dku prawnego najpóźniej do 17 października 2024 roku. Jak wynika z ocen ekspertów, ponad poÅ‚owa podmiotów może nie być gotowa na nowe przepisy.
– OkoÅ‚o 60 proc. organizacji może nie być jeszcze przygotowane na speÅ‚nienie wymogów dyrektywy NIS2. Powodów tego stanu rzeczy jest kilka i jednym z podstawowych jest to, że wciąż brakuje polskiego aktu prawnego, który wprowadzaÅ‚by dyrektywÄ™ NIS2 do porzÄ…dku prawnego w Polsce, czyli wÅ‚aÅ›ciwie mówimy o nowelizacji ustawy o Krajowym Systemie CyberbezpieczeÅ„stwa – mówi agencji informacyjnej Newseria Biznes PaweÅ‚ Åšmigielski, country manager Stormshield.
To jednak nie koniec listy problemów, przed którymi stojÄ… organizacje w Polsce. Pierwszym z nich jest brak specjalistów zajmujÄ…cych siÄ™ cyberbezpieczeÅ„stwem. Szacuje siÄ™, że tylko w 2023 roku brakowaÅ‚o nad WisÅ‚Ä… od 10 tys. do nawet kilkunastu tysiÄ™cy fachowców z tej dziedziny. Do tego dochodzÄ… różne aspekty zwiÄ…zane z przygotowaniem siÄ™ do nowych wymogów w zakresie finansowym.
ZasadniczÄ… różnicÄ… wzglÄ™dem wczeÅ›niejszego aktu NIS, który uchwalono w poÅ‚owie poprzedniej dekady, jest szerszy zakres podmiotów, które zostaÅ‚y objÄ™te tÄ… regulacjÄ…. Dotyczy m.in. takich obszarów jak bezpieczeÅ„stwo Å‚aÅ„cuchów dostaw, mechanizmy kontrolne i nadzorcze, obowiÄ…zki informacyjne, a także zasady raportowania o zaistniaÅ‚ych incydentach.
– Dyrektywa NIS2 wprowadza kilka zmian w porównaniu do pierwszej części dyrektywy i naszego krajowego aktu, czyli ustawy o krajowym systemie cyberbezpieczeÅ„stwa, przede wszystkim pierwszÄ… poważnÄ… zmianÄ… jest rozszerzenie listy podmiotów, które bÄ™dÄ… objÄ™te regulacjÄ…. I tu na przykÅ‚ad dyrektywa NIS2 obejmuje swoimi wymaganiami także jednostki administracji publicznej. SÄ… to także przedsiÄ™biorstwa, które zajmujÄ… siÄ™ Å›ciekami i, co jest istotne, szczególnie w Å›wietle ataków, z którymi mamy na co dzieÅ„ do czynienia, także operatorzy pocztowi i kurierzy zostali objÄ™ci nowÄ… dyrektywÄ… – mówi country manager Stormshield.
Dyrektywa wprowadza także podział organizacji na podmioty kluczowe oraz ważne. Co istotne, wpływa to na wysokość kar, jakie mogą zostać nałożone w przypadku niespełnienia wymagań.
– Kary w przypadku podmiotów kluczowych mogÄ… być liczone do 10 mln euro lub też 2 proc. rocznego obrotu, natomiast w przypadku operatorów podmiotów ważnych te kary mogÄ… wynieść do 7 mln euro bÄ…dź też 1,4 proc. rocznych obrotów – wylicza ekspert.
Dyrektywa NIS2 oznacza obarczenie odpowiedzialnoÅ›ciÄ… za niespeÅ‚nienie wymagaÅ„ m.in. zarzÄ…dy spóÅ‚ek czy kadrÄ™ kierowniczÄ…. To oznacza, że na konkretne osoby zajmujÄ…ce czoÅ‚owe stanowiska mogÄ… być naÅ‚ożone kary finansowe, a nawet zakaz peÅ‚nienia funkcji publicznych. Nowe prawo nakÅ‚ada również nowe obowiÄ…zki.
– Jest okreÅ›lone w dyrektywie, że dana organizacja w ciÄ…gu 24 godz. powinna poinformować odpowiednie organy o incydencie, który miaÅ‚ miejsce, natomiast w ciÄ…gu 72 godz. powinna zostać wysÅ‚ana bardziej szczegóÅ‚owa informacja o tym incydencie. Natomiast kolejny obowiÄ…zek, na który zwracam uwagÄ™, to zapewnienie odpowiednich Å›rodków proporcjonalnych do szacowanego ryzyka – mówi PaweÅ‚ Åšmigielski.
W praktyce oznacza to przede wszystkim zapewnienie Å›rodków technicznych i organizacyjnych, które majÄ… siÄ™ przeÅ‚ożyć na podniesienie poziomu bezpieczeÅ„stwa w danym podmiocie. Ekspert tÅ‚umaczy, że te przepisy nie bÄ™dÄ… de facto dotyczyÅ‚y samego przedsiÄ™biorstwa, ale także jego otoczenia.
– Organizacja, oprócz tego, że musi zadbać o bezpieczeÅ„stwo swoich systemów teleinformatycznych, powinna także zwrócić uwagÄ™ i sprawdzać, jak wyglÄ…da stopieÅ„ bezpieczeÅ„stwa czy stopieÅ„ speÅ‚niania dyrektywy NIS2 u swoich dostawców i podwykonawców. To jest dość duża zmiana i z punktu widzenia specjalistów zajmujÄ…cych siÄ™ cyberbezpieczeÅ„stwem dość istotna – podkreÅ›la.
Dyrektywa NIS2 wprowadza także wymóg szkoleÅ„, w których udziaÅ‚ powinni brać również czÅ‚onkowie zarzÄ…dów oraz kadra kierownicza. W przypadku szeregowych pracowników mówi siÄ™ także o zachowaniu zasad cyberhigieny.
Zaskoczeniem dla wielu przedsiÄ™biorców może być fakt, że kierowana przez nich organizacja może podlegać pod dyrektywÄ™ NIS2. Z jednej strony nowe prawo należy uważać za uzupeÅ‚nienie ustawy z 5 lipca 2018 roku o krajowym systemie bezpieczeÅ„stwa (ustawa o KSC). Jej zapisami wedÅ‚ug szacunków byÅ‚o dotÄ…d objÄ™tych kilkaset podmiotów. Tymczasem NIS2 może dotyczyć nawet kilku tysiÄ™cy organizacji.
– Wiele z nich nie jest przygotowanych, a szacuje siÄ™, że 1/4 firm w Polsce nawet nie wie, że powinny być objÄ™te dyrektywÄ… NIS2. Tak że to już stanowi dość duże wyzwanie na samym poczÄ…tku, bo przypomnijmy, że czas, który zostaÅ‚ naÅ‚ożony, to jest październik 2024 roku na przystosowanie naszych organizacji do wymogów dyrektywy NIS2 – mówi PaweÅ‚ Åšmigielski.
Firma doradcza EY wskazuje, że nowa unijna dyrektywa to rewolucja w kwestii budowania cybernetycznej odpornoÅ›ci dla wielu sektorów gospodarki. 36 proc. ankietowanych nie analizowaÅ‚o jeszcze tej dyrektywy. 30 proc. przyjrzaÅ‚o siÄ™ temu zagadnieniu, ale nie odnotowaÅ‚o istotnego wpÅ‚ywu na realizowany sposób dziaÅ‚ania. To może oznaczać, że nie wszystkie organizacje zdajÄ… sobie w peÅ‚ni sprawÄ™, jakie nastÄ™pstwa niesie NIS2. Mowa o takich aspektach jak np. raportowanie zagrożeÅ„ czy obowiÄ…zek szyfrowania.
W ostatnim czasie doszÅ‚o do kilku groźnych incydentów w obszarze cyberbezpieczeÅ„stwa. Zdaniem ekspertów oprócz gÅ‚oÅ›nych przypadków zwiÄ…zanych z jednym z laboratorium czy platformami dostawców takie zdarzenia dziejÄ… siÄ™ każdego tygodnia. Niestety liczba podobnych zdarzeÅ„ caÅ‚y czas roÅ›nie.
– Z mojego punktu widzenia warto zaznaczyć, że incydent to jest coÅ›, czego nie należy siÄ™ bać. Incydenty byÅ‚y, sÄ… i bÄ™dÄ… i także dyrektywa NIS2 kÅ‚adzie na to duży nacisk, żeby firmy czy organizacje przygotowywaÅ‚y plany ciÄ…gÅ‚oÅ›ci dziaÅ‚ania i budowaÅ‚y kompetencje w zakresie cyberodpornoÅ›ci, czyli przywracania firmy, organizacji do normalnego funkcjonowania po wystÄ…pieniu incydentu – stwierdza ekspert.
W tym przypadku kluczowe jest „nauczenie siÄ™ życia z takim incydentem” i odpowiednia reakcja naÅ‚ożona literalnie przez przepisy NIS2. W zależnoÅ›ci od zdarzenia podmioty majÄ… 24 i 72 godz. na przekazanie informacji o zdarzeniu do odpowiednich organów. Z drugiej strony dyrektywÄ™ należy traktować jak drogowskaz co do koniecznych zmian w samej organizacji.
