Wdrożenie NIS2 to duże wyzwanie dla polskich firm. Obejmująca kilkadziesiąt tysięcy podmiotów z 17 sektorów dyrektywa wymaga od nich znacznych inwestycji w cyberbezpieczeństwo. Kary za nieprzestrzeganie przepisów są wysokie i mogą dotknąć zarówno firmy, jak i kierowników organizacji. 7 października ukazała się druga wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wprowadza do polskiego prawa NIS2. Do końca roku ma on zostać przyjęty przez Radę Ministrów, a następnie skierowany do parlamentu, aby nowe przepisy mogły wejść w życie na początku 2025 r.
Polska znajduje się wśród trzech najbardziej atakowanych krajów na świecie, a liczba incydentów dotyczących cyberbezpieczeństwa wzrosła w ciągu roku o prawie 200%, z 30 tys. do 80 tys. rocznie – wynika z danych Ministerstwa Cyfryzacji. – Liczby dotyczące cyberataków mówią same za siebie, dlatego obowiązek wdrożenia rozbudowanych procedur na szeroką skalę jest konieczny. W przepisach, które już niebawem mają wejść w życie, obejmie on szeroką gamę branż, a to oznacza, że polski rynek staje przed ogromnym wyzwaniem dostosowania się do nowych wymogów, szczególnie w organizacjach, które wcześniej mogły nie traktować cyberbezpieczeństwa jako priorytetu. Ich obowiązkiem już niebawem będzie wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w firmie oraz zgłaszanie incydentów sieciowych. Lista wymogów jest długa, a przed zarządzającymi organizacjami i ich pracownikami poważne wyzwanie, szczególnie że – wbrew pozorom – na wdrożenie zmian nie ma zbyt dużo czasu – podkreśla Magda Dąbrowska, wiceprezeska Grupy Progres.
W ocenie ekspertki kluczowym pytaniem jest, na ile polskie firmy są gotowe na tak kompleksowe zmiany. – Czy posiadają zasoby, technologie i wiedzę niezbędne do wdrożenia tych wymogów? Równie istotna jest też kwestia gotowości pracowników, którzy będą musieli dostosować się do nowych procedur i rozwijać swoje kompetencje cyfrowe. Niezbędne będą intensywne szkolenia i kampanie edukacyjne, aby zwiększyć świadomość zagrożeń oraz wypracować kulturę cyberbezpieczeństwa na wszystkich szczeblach organizacji. Dla wielu przedsiębiorstw wdrożenie tych wymogów może wiązać się nie tylko z dużymi nakładami finansowymi, ale także z koniecznością reorganizacji procesów, co może okazać się sporym wyzwaniem w krótkim czasie – wskazuje Magda Dąbrowska.
Badania Grupy Progres pokazują, że podejście pracowników do cyberhigieny bywa problematyczne. Mimo że 75% respondentów twierdzi, że nie korzystało z prywatnego e-maila w celach służbowych, to co czwarty ankietowany przyznaje się do takiego działania, często na prywatnej poczcie ma też firmowe pliki i dokumenty służbowe. Większość osób robiła to sporadycznie, np. gdy służbowa skrzynka nie działała lub gdy pracowali z domu, niektórzy jednak przyznawali, że korzystali z niej regularnie. Zdaniem 70% badanych takie praktyki są niedopuszczalne, jednak 30% uważa, że w wyjątkowych sytuacjach można używać prywatnego maila do spraw służbowych.
W przepisach przewidziano kary do 10 mln euro lub 2% przychodów dla podmiotów kluczowych oraz do 7 mln euro lub 1,4% przychodów dla podmiotów ważnych. W szczególnych przypadkach kara może wynieść do 100 mln zł. Nowelizacja wprowadza też kary dla kierowników podmiotu kluczowego lub ważnego w wysokości do 600% otrzymywanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Według Magdy Dąbrowskiej kary nie są najlepszym sposobem na skuteczne i mądre wdrożenie zasad oraz wyrobienie nawyków cyberhigieny, ale z pewnością będą skuteczne. Ich wysokość może wydawać się niewspółmierna do przewinienia, ale nauczeni doświadczeniem możemy uznać, że w dłużej perspektywie ich wysokość ma szansę przynieść skutek w postaci stosowania się do zasad dotyczących cyberbezpieczeństwa.
Do sektorów kluczowych zaliczana jest energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna oraz podmioty publiczne. Z kolei sektory ważne to usługi pocztowe, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja (wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowana, pojazdów samochodowych, przyczep i naczep oraz pozostałego sprzętu transportowego), badania naukowe oraz dostawcy usług cyfrowych. Ta pierwsza grupa to głównie firmy duże, w określonych przypadkach podmiotem kluczowym może być też firma mała lub średnia. Podmioty ważne to przeważnie mikro, mali lub średni przedsiębiorcy.
fot. freepik.com
oprac. /kp/