Unijna dyrektywa NIS2, której postanowienia powinny być stosowane od 18 października 2024 r., nakłada na przedsiębiorstwa wiele nowych obowiązków. Za niewywiązanie się będą grozić drakońskie kary sięgające nawet 10 mln euro. Badanie Fortinet przeprowadzone wśród firm, które będą objęte dyrektywą, wykazało, że ponad połowa z nich nie wiedziała, czy nowe przepisy będą ich dotyczyły.
NIS2 to rozszerzenie obowiązującej od 2016 roku dyrektywy powstałej w celu ujednolicenia zasad cyberbezpieczeństwa w Unii Europejskiej. Oprócz nowych obowiązków, takich jak zabezpieczanie łańcuchów dostaw, znowelizowany akt zwiększa grupę podmiotów, które mają mu podlegać. Podczas gdy dyrektywa NIS koncentrowała się na operatorach usług kluczowych, NIS2 uwzględnia średnie i duże firmy z branż, takich jak energetyka, infrastruktura cyfrowa oraz opieka zdrowotna.
NIS2 – przedsiębiorcy zagubieni
Badanie wśród na temat wdrożenia dyrektywy NIS2 w Polsce zostało przeprowadzone na zlecenie Fortinet przez centrum badawczo-rozwojowe Biostat na grupie 150 średnich i dużych podmiotów z branży produkcyjnej, energetycznej, infrastruktury cyfrowej, ochrony zdrowia, produkcji żywności oraz transportowej.
Choć wielu respondentów, bo niemal 75 proc., słyszało o wchodzącej w październiku dyrektywie NIS2, ponad połowa badanych (51 proc.) nie potrafiła odpowiedzieć, czy ich firmy zostaną objęte nowymi regulacjami, a 12 proc. uważało, że nowe przepisy nie będą ich dotyczyły, choć akurat będzie odwrotnie.
Odpowiedź tę wyjaśniali, przywołując błędne argumenty, takie jak to, że nie świadczą usług dla struktur państwowych. Jednakże kwestia ta nie zwalnia podmiotu z przestrzegania wytycznych zawartych w NIS2 – zauważa Jolanta Malak, dyrektorka Fortinet w Polsce.
Ankietowani, poproszeni o wskazanie czynników stanowiących największe wyzwania związane z osiągnięciem zgodności z dyrektywą NIS2, wskazali kolejno:
- obowiązek wprowadzenia polityki ryzyka i bezpieczeństwa systemów informatycznych,
- warunek zapewnienia ciągłości działania procesów w obliczu cyberataku,
- konieczność wprowadzenia standardów, które pomagałyby w ocenie skuteczności środków zarządzania ryzykiem.
Przedsiębiorcy zwracali też uwagę na niewystarczającą klarowność regulacji zawartych w NIS2. Treść dyrektywy jest zrozumiała jedynie dla 46 proc. respondentów, a 43 proc. nie było w stanie udzielić jednoznacznej odpowiedzi na to pytanie. Pozostali uznali, że przepisy NIS2 są dla nich niezrozumiałe. Dotyczy to firm, które słyszały o dyrektywie oraz nie zaprzeczały, że zostaną nią objęte.
Za przystosowanie się do NIS2 grożą wysokie kary
Fortinet alarmuje, że przedsiębiorcy nie mogą zignorować wymogów, jakie nakłada na nich unijna dyrektywa, ponieważ stanowią one odpowiedź na ewoluujące nieustannie cyberzagrożenia. I wskazuje na kary finansowe, które grożą za nieprzystosowaniem do nowych zasad. Firmy i instytucje muszą liczyć się z koniecznością zapłacenia grzywny w wysokości nawet 10 mln euro lub 2 proc. ich obrotów – w zależności od tego, która opcja będzie bardziej dotkliwa.
Więcej wiadomości na temat regulacji dotyczących firm
W związku z tym alarmujący jest fakt, iż w grupie firm, które słyszały o dyrektywie oraz nie zaprzeczały, że będą nią objęte, 27 proc. badanych nie zdaje sobie sprawy z potencjalnych konsekwencji wynikających z niedostosowania się do unijnych wymogów – zauważa Fortinet w komentarzu do badania.
Ankietowani, którzy odpowiedzieli, że ich firmy zostaną objęte NIS2, a także ci, którzy nie byli w stanie jednoznacznie tego stwierdzić, zostali zapytani o plany w związku z wejściem nowych przepisów. 38 proc. respondentów zadeklarowało, że podczas wdrażania wymaganych zmian zamierza wspomagać się międzynarodowymi standardami. Wśród nich dominuje (56 proc.) ISO 27001 – zalecany w procesie wdrażania rozwiązań wynikających z NIS2. Równocześnie 31 proc. badanych nie było w stanie jednoznacznie nazwać standardu, z którego mają zamiar skorzystać, ponieważ nie są z nimi odpowiednio zaznajomieni.
Część firm już teraz korzysta lub planuje skorzystać z usług podmiotów doradczych oraz konsultingowych. Drugą popularną opcją jest stworzenie wewnętrznych zespołów odpowiedzialnych za sprawdzanie zgodności działalności przedsiębiorstwa z regulacjami przedstawionymi w NIS2 – wyjaśnia Jolanta Malak.
Jak wynika z badania Fortinet, wiele firm nie będzie miało szans na osiągnięcie zgodności z unijną dyrektywą, ponieważ wychodzą z założenia, że ta ich nie dotyczy. Nie mają też pojęcia, że dla znacznej liczby podmiotów NIS2 nie jest aktualizacją przepisów dyrektywy NIS z 2016 roku, lecz zestawem zupełnie nowych wymogów.
Kwestia ta także znalazła odzwierciedlenie w wynikach badania. Ponad 60 proc. respondentów, którzy nie zaprzeczali, że będą objęci NIS2, nie było w stanie stwierdzić, które elementy nowej dyrektywy są uzupełnieniem NIS, co może wskazywać również na nieznajomość tego pierwotnego aktu – wskazuje Fortinet.
Można zatem się spodziewać, że wprowadzenie wymaganych zmian nie będzie w firmach prostym procesem.