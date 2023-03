Nawet półtora miliona złotych może kosztować przystosowanie firmy do wymogów unijnej dyrektywy NIS2. O ile uda się znaleźć na rynku pracy ekspertów z zakresu cyberbezpieczeństwa, czego będą wymagać nowe przepisy.

tym linkiem. Trwa rejestracja uczestników na nasz tegoroczny Europejski Kongres Gospodarczy. Zapraszamy! Udział możecie potwierdzić pod

Dyrektywa NIS2 dotyczy przede wszystkim średnich i dużych przedsiębiorstw.

Jej wprowadzenie wiąże się ze znacznymi kosztami, które z pewnością zaskoczą przedsiębiorców.

Państwa członkowskie Unii Europejskiej mają czas na wprowadzenie przepisów do 18 października 2024 roku.

O cyberzagrożeniach i cyberbezpieczeństwie będziemy dyskutować podczas Europejskiego Kongresu Gospodarczego w Katowicach.

W cyfrowym świecie ma być bardzo bezpiecznie – to główne założenie nowej, obowiązującej od stycznia tego roku unijnej dyrektywy. Ale bez wątpienia dla wielu to będzie wstrząs. Dyrektywa NIS2 to regulacje dotyczące bezpieczeństwa sieci i systemów informacji, które nakładają na przedsiębiorstwa nowe obowiązki. I co ważne – dotyczą zupełnie nowych branż.

Przepisy wynikają z przeniesienia wielu procesów biznesowych do świata cyfrowego, co wiąże się z wieloma zagrożeniami: od błędów, awarii, niedostępności usług po wyciek danych i rosnącą cyberprzestępczość. Mają zapewnić wysoki poziom ochrony i minimalizować ryzyko cyberataków.

– Dyrektywę NIS 2 można postrzegać jako próbę uaktualnienia i dostosowania wymogów regulacyjnych w zakresie cyberbezpieczeństwa do dynamicznie zmieniającej się rzeczywistości oraz zbudowania zbliżonego standardu w zakresie cyberbezpieczeństwa w całej UE – pisze w swoim raporcie Federacja Przedsiębiorców Polskich.

Dyrektywa dotyczy przede wszystkim średnich przedsiębiorstw, zatrudniających co najmniej 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro albo rocznej sumie bilansowej do 43 milionów euro, a także przedsiębiorstw dużych, zatrudniających przynajmniej 250 osób, o rocznych przychodach w wysokości co najmniej 50 mln euro lub sumie bilansowej 43 mln euro.

NIS2 to zasadnicza zmiana dla wielu polskich firm

Ale niektóre podmioty, takie jak dostawcy usług łączności elektronicznej czy administracja publiczna, będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności. Nie bez powodu – Unia Europejska podzieliła przedsiębiorstwa i instytucje według ich znaczenia i podzieliła na kategorie kluczowe i ważne.

Nowe obowiązki związane z cyberbezpieczeństwem dotyczyć będą m.in. na dostawców usług chmurowych; dostawców chemikaliów, producentów i dystrybutorów żywności, dostawców usług kurierskich, producentów wyrobów elektronicznych i urządzeń elektrycznych czy wreszcie - internetowych platform handlowych.

Ich podstawowym obowiązkiem będzie podjęcie odpowiednich, czyli uwzględniających wszystkie zagrożenia, środków operacyjnych, technicznych i organizacyjnych, aby zarządzać ryzykiem, na jakie są narażone sieci i systemy informatyczne. Do tego dochodzi korzystanie z certyfikowanych produktów i usług przetwarzających, gromadzących i przesyłających informacje w formie elektronicznej, szkolenie kadry kierowniczej, czy zgłaszanie incydentów.

Specjalista poszukiwany, czyli zespołu nie da się szybko zbudować

Tym wszystkim w poszczególnych przedsiębiorstwach zajmują się zespoły Security Operations Center (SOC), czyli wyspecjalizowane centra bezpieczeństwa. I w tym problem.

– Gdyby firma objęta zapisami dyrektywy zdecydowała o budowie zespołu Security Operations Centre, to pozostało jej naprawdę mało czasu. Trzeba przygotować procedury, kupić sprzęt, zatrudnić i wyszkolić ludzi. Musi też liczyć się z dużym z wydatkiem, bo oprócz kosztów bieżącego utrzymania zespołu, na początek trzeba wydać od pół do półtora miliona złotych. Do tej pory takich wydatków udawało się wielu przedsiębiorstwom unikać – mówi Jarosław Sordyl, konsultant ds. cyberbezpieczeństwa w firmie doradczej NaviRisk.

Jeżeli firma nie posiada takich zdolności finansowych lub nie planuje budowy własnego zespołu, może zlecić świadczenie takiej usługi specjalistycznym firmom.

– Firmy już dziś mówią, że jest ogromny popyt na zarządzanie cyberbezpieczeństwem, a na początku przyszłego roku wszyscy zaczną gwałtownie szukać specjalistów w tym zakresie, co tylko zaogni problem. Firmy będą jednak musiały stosować prawo, spodziewam się więc, że będziemy mieli do czynienia z outsourcingiem usług – dodaje Jarosław Sordyl.

Zostało nieco ponad półtora roku, by przygotować się na zmiany

Państwa członkowskie Unii Europejskiej mają czas na wprowadzenie przepisów do 18 października 2024 roku. – W gruncie rzeczy wprowadzenie w życie dyrektywy NIS2 jest dużym wyzwaniem technologicznym, jednocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów wyposażonych w określone kompetencje. Dotyczy to praktycznie wszystkich podmiotów, które zostaną objęte obowiązkami wprowadzonymi na jej podstawie – komentuje Aleksander Kostuch, ekspert Stormshield, wytwórcy rozwiązań z dziedziny bezpieczeństwa IT.

Głównym celem NIS2 jest poprawa bezpieczeństwa cyfrowego w Unii Europejskiej oraz zdolności do reagowania na incydenty zarówno podmiotów publicznych, jak i sektora prywatnego, nic zatem dziwnego w tym, że niestosowanie się do przepisów będzie oznaczało surowe kary. Będą wynosić maksymalnie co najmniej 10 milionów euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa.

– W tej sytuacji stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Oczywiście, wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku lub kar za niedopełnienie obowiązków – mówi Aleksander Kostuch.