W 2022 roku aż 69 proc. polskich firm zanotowało przynajmniej jeden incydent bezpieczeństwa. Odpowiedzią na zagrożenia w sferze cyberbezpieczeństwa mają być nowe przepisy unijne, które oznaczają jednak kolejne obowiązki, także dla polskich przedsiębiorców. Kogo obejmuje dyrektywa NIS2?
Dyrektywa NIS2 to ogólnounijne przepisy dotyczące cyberbezpieczeństwa, określające środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE. Dotychczas obowiązujące unijne przepisy dotyczące cyberbezpieczeństwa wprowadzone w 2016 r. zostały więc zaktualizowane, a nowa dyrektywa NIS2 weszła w życie już na początku 2023 r.
Głównym celem NIS2 (ang. the Network and Information Security Directive) jest zapewnienie cyfrowej ochrony danych, którymi dysponują przedsiębiorstwa działające na obszarze Unii Europejskiej. Zgodnie z nowymi regulacjami, państwa członkowskie muszą wdrożyć między innymi krajową strategię cyberbezpieczeństwa oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości podmiotów objętych dyrektywą.
Warto zauważyć, że nowa dyrektywa NIS2 "zastępuje" dyrektywę NIS, która także była odpowiedzią na stale rosnące zagrożenia w zakresie cyberbezpieczeństwa. W Polsce założenia dyrektywy NIS realizowała ustawa o krajowym systemie cyberbezpieczeństwa z dnia 28 sierpnia 2018 roku. Na wdrożenie nowej dyrektywy państwa członkowskie maja coraz mniej czasu. Polskie przepisy muszą wejść w życie najpóźniej 17 października 2024 roku. Tymczasem polscy przedsiębiorcy, nie czekając na ustawowdawcę, już podjęli działania przygotowawcze do wdrożenia mechanizmów narzuconych przez NIS2. W tym miejscu pojawia się pytanie kluczowe: kogo obejmują przepisy unijnej dyrektywy NIS2?
Dyrektywa nakłada na europejskie firmy obowiązek posiadania własnego systemu zarządzania ciągłością działania (ang. Business Continuity Plan, BCP) oraz gotowości do jego weryfikacji przez odpowiednie instytucje bądź służby. Intencja jest oczywista - UE robi wszystko, aby w przypadku sytuacji kryzysowej nie doszło do paraliżu ekonomicznego państw członkowskich, co mogłoby grozić niepokojami społecznymi, paniką i obniżeniem zdolności obronnych kontynentu.
Podmioty objęte NIS2 dzielą się na dwie kategorie: podmioty kluczowe oraz podmioty istotne, z których większość dotychczas nie podlegała rygorystycznym regulacjom. Jako kluczowe wymienia się takie sektory, jak energia, transport, woda, bankowość, infrastruktura rynku finansowego, opieka zdrowotna i infrastruktura cyfrowa. Przedsiębiorstwa wskazane przez państwa członkowskie jako operatorzy usług kluczowych w powyższych sektorach będą musiały podjąć odpowiednie środki bezpieczeństwa i powiadamiać właściwe organy krajowe o poważnych incydentach. Jako podmioty istotne wymienia się np. firmy przewozowe, platformy mediów społecznościowych czy dostawców centrów danych.
Zgodnie z przepisami dyrektywy, z obowiązku wprowadzania zmian zwolnione będą firmy, które zatrudniają mniej niż 250 pracowników lub ich roczne obroty nie przekraczają 50 mln EUR. Należy jednak pamiętać, że niektóre podmioty, takie jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności. Dodatkowo, ze względu na koncepcję odpowiedzialności w łańcuchu dostaw należy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych dyrektywą muszą również przestrzegać NIS2.
Na przedsiębiorców czekają dwa fundamentalne wyzwania. Pierwszym z nich są wysokie koszty inwestycji w rozbudowę i unowocześnianie własnych działów IT. Eksperci szacują, że roczny koszt utrzymania systemu monitorowania i analizy cyberzagrożeń oraz profesjonalnego zespołu, posiadającego odpowiednie kwalifikacje i doświadczenie, przekracza 3 miliony złotych - a suma ta, wraz z inflacją oraz dynamiką wynagrodzeń, nieustannie rośnie. Tymczasem ostatnie lata nie są dla biznesu łaskawe, co oznacza istotne cięcia wydatków w wielu firmach. Drugim problemem jest fakt, że przepisy nowej dyrektywy UE nie są do końca jasne. W dokumencie nie określono np. ram i komponentów wymaganej od przedsiębiorstw strategii ciągłości działania czy cyfrowej ochrony. Unijny prawodawca jedynie wskazuje, że przedsiębiorcy muszą je posiadać. Dlatego - jak pokazują dane - dla 2/3 organizacji w Polsce optymalnym rozwiązaniem staje się korzystanie z usług firm zewnętrznych, głównie operatorów telekomunikacyjnych, dysponujących zaawansowanym zapleczem technicznym oraz doświadczonymi kadrami. Jest to istotny wzrost względem ubiegłego roku, kiedy to tylko nieco ponad połowa przedsiębiorstw deklarowała zlecanie stworzenia polityki bezpieczeństwa dostawcom zewnętrznym. W większości przypadków firmy decydują się więc na outsoursing całościowy (więcej niż jeden model bądź proces), a tendencja ta cały czas rośnie.
Źródło:
- Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (dyrektywa NIS2), https://digital-strategy.ec.europa.eu/pl/policies/nis2-directive
- PAP MediaRoom, https://pap-mediaroom.pl/polityka-i-spoleczenstwo/polskie-firmy-ruszyly-z-przygotowaniami-do-wdrozenia-unijnej-dyrektywy
_____________________________________
Treści publikowane w serwisie internetowym PlanetaPrawo.pl mają charakter informacyjno-edukacyjny. Nie stanowią one porad prawnych i nie zastępują profesjonalnej pomocy prawnej. Administrator nie ponosi odpowiedzialności za jakiekolwiek skutki związane z ich wykorzystywaniem. Wszelkie prawa zastrzeżone – powołując się na publikację podaj źródło. Wykorzystywanie zawartości serwisu internetowego PlanetaPrawo.pl jako danych treningowych AI jest zabronione.
PlanetaPrawo.pl - przepisy, praktyczne komentarze, orzecznictwo, marketing prawniczy
Odwiedź nasz Sklep, polub nas na Facebooku, obserwuj nas na Twitterze
Jak uzyskać zaświadczenie o niezaleganiu w podatkach?
2022-04-15 15:10
W styczniu 2023 r. wejdą w życie nowe przepisy o prawach konsumenta
2022-12-21 21:17
Skazanie a pełnienie funkcji w spółce handlowej
2024-06-24 11:01
Spółka komandytowo-akcyjna w pigułce
2024-05-17 00:11
Ograniczenie cesji umów rezerwacyjnych i deweloperskich przesądzone
2023-04-04 20:00
Dane podatkowe udostępnione osobie nieuprawnionej
2023-03-23 10:00
Problematyczna sukcesja polskich przedsiębiorstw rodzinnych
2022-12-16 10:00
Obligatoryjny KSeF wejdzie w życie z opóźnieniem
2024-05-01 10:15
Dodawanie followersów i zwiększanie liczby polubień pod lupą UOKiK
2024-08-02 19:00
Co powinien zawierać regulamin sklepu internetowego?
2022-06-02 20:00
