Nowe wymogi w Unii. Przedsiębiorcy już nie śpią po nocach
Najpierw było RODO, teraz polscy przedsiębiorcy muszą dostosować się do dwóch nowych regulacji Unii Europejskiej: NIS2 i DORA. Na wprowadzenie nowych wymogów do swoich organizacji mają jeszcze rok, przez co już teraz śpią gorzej od swoich kolegów z Europy Zachodniej. W dodatku w samej tylko Polsce brakuje tysięcy specjalistów, którzy mogliby pomóc ich biznesom dostosować się do nowych zasad.
Analitycy z firmy doradczej IDC zwracają uwagę, że polscy przedsiębiorcy boją się unijnych regulacji, zwłaszcza tych ws. dostosowania się do przepisów Wspólnoty na temat cyberbezpieczeństwa i prywatności danych. Swoje obawy wyraża niemal 41 proc. polskich firm, podczas gdy w Europie deklarację taką składa średnio jedna na trzy firmy.
Przed firmami duże wyzwanie
Z analizy wynika także, że polskie firmy bardziej od przedsiębiorców z Europy Zachodniej obawiają się także regulacji w obszarze prywatności danych (37 proc. vs. 24 proc.). Podobnie rzecz ma się w sprawie unijnych regulacji w zakresie kontroli nad danymi – 33 proc. przedsiębiorców w Polsce postrzega to jako duże wyzwanie, a dla Europy Zachodniej ten wskaźnik wynosi 29 proc.
Jak wskazuje Wiktor Markiewicz, starszy analityk w IDC, firmy w całej Europie obawiają się nowych regulacji, jednak silny lęk odczuwalny jest przede wszystkim w naszym regionie. I widzi podobieństwo w tym, jak polscy przedsiębiorcy najpierw negatywnie podchodzi do RODO, a teraz do cyberbezpieczeństwa.
W polskim podejściu charakterystyczne jest odwlekanie wprowadzania zmian. Tak jak w przypadku RODO, wiele organizacji czeka do ostatniej chwili na dostosowanie się do regulacji zamiast realizować działania z wyprzedzeniem metodą małych kroków – uważa ekspert.
Nowe regulacje w UE
Oczywiście to nie jest, że Komisja Europejska właśnie teraz postanowiła wprowadzić nowe zasady. Nie, te dwa ważne akty prawne zostały przyjęte już w listopadzie 2022 r. Ich celem jest wzmocnienie cyberbezpieczeństwa i cyberodporności państw członkowskich oraz organizacji w całym bloku. Pierwszy z nich to Digital Operational Resilience Act (DORA), który obejmuje sektor finansowy i firmy świadczące usługi ICT oraz infrastrukturalne dla podmiotów z sektora finansowego. Drugi to aktualizacja dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS), znana jako NIS2, której ogólnym celem jest zapewnienie w perspektywie długoterminowej wysokiego wspólnego poziomu cyberbezpieczeństwa w obszarze infrastruktury krytycznej we wszystkich państwach członkowskich.
Poprzednie przepisy wprowadzone w 2016 r. nie wpłynęły na poprawę bezpieczeństwa i ujednolicenie polityki i praktyk krajów UE w zakresie cyberbezpieczeństwa w takim stopniu, w jakim się tego spodziewano. W efekcie poziom cyberodporności przedsiębiorstw i instytucji publicznych jest dzisiaj bardzo zróżnicowany i w dużej mierze nie odpowiada dzisiejszym potrzebom - zwraca uwagę Markiewicz.
I zaznacza, że nowe regulacje są niezbędne w obliczu zmian geopolitycznych, wojny za wschodnią granicą Unii, wzmożonych cyberataków nie tylko na infrastrukturę krytyczną. I działania Komisji Europejskiej należy uznać za proporcjonalne do zagrożeń.
Nie zmienia to jednak faktu, że nowe obowiązki dla wielu firm są trudne do wprowadzenia i jednocześnie wymagające dla zarządów, bo to kadra menedżerska ma ponosić pełną odpowiedzialność za działania dostosowawcze – dodaje.
Więcej o cyberbezpieczeństwie przeczytasz na Bizblog.pl:
Firmy mają jeszcze rok
Pełen tekst dyrektywy NIS2 został opublikowany w Dzienniku Urzędowym Unii Europejskiej w dniu 27 grudnia 2022 r. i wszedł w życie 20 dni później (16 stycznia 2023 r.). Państwa członkowskie mają 21 miesięcy na dostosowanie dyrektywy do prawa krajowego do 17 października 2024 r., gdy zaostrzone przepisy wejdą w życie.
Firmy stoją zatem przed wyzwaniem, bo muszą nie tylko zrozumieć nowe regulacje, ale jeszcze je zdrożyć. Zdaniem IDC przedsiębiorstwa jednak zwlekają, co może skończyć się problemami, tak jak to było w przypadku RODO, gdy już po terminie wprowadzenia regulacji, okazało się, że wiele organizacji ma niezgodne zasady z wymogami nowych przepisów.
Dyrektywa NIS2, w porównaniu do poprzedniczki, obejmuje swoimi wytycznymi wiele nowych branż, również takich, które z technologiami de facto nie są związane. W praktyce nowe wymogi będą wpływać szeroko na rzeczywistość biznesową. Do tej pory gros organizacji zarządzało ryzykiem w sposób reaktywny lub wcale. Nowa legislacja wprowadzi dodatkowe wymogi dotyczące zarządzania ryzykiem i zabezpieczeń IT, co oczywiście będzie generować dodatkowe koszty - mówi Sebastian Toczewski, IT Security Manager w Beyond.pl, dostawcy usług data center, chmury i Managed Services.
I przypomina, że według szacunków KE sprzed trzech lat, organizacje wcześniej nie objęte regulacjami będą musiały zwiększyć budżet na cyberbezpieczeństwo o około 22 proc. w perspektywie 3-4 lat. Z kolei w przypadku firm z sektorów, które wcześniej były już regulowane ma to być ok. 12 proc.
Co ważne, już teraz należy uruchomić prace nad aktualizacją wewnętrznych procesów i weryfikować czy aktualni dostawcy usług IT wpisują się jakością w nowe standardy - zaznacza Toczewski.
Dla nowych firm objętych regulacjami to będzie piekło, bo na rynku brakuje specjalistów
Największy problem zdaniem ekspertów mają te przedsiębiorstwa, które wcześniej nie podlegały żadnym regulacjom w zakresie cyberbezpieczeństwa, a dyrektywa NIS2 to zmieniła i w dodatku znacząco rozszerzyła swój zakres na kolejne sektory gospodarki. Jest w niej również kryterium wielkości podmiotu, które w jasny sposób określa, jakie podmioty są nią objęte, a jakie nie. Do stosowania nowej dyrektywy będą zobowiązane również mikroprzedsiębiorstwa i małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.
To dla nich bardzo duża zmiana, bo regulacje obejmują nie tylko kwestie technologiczne, ale też organizacyjne. Analiza ryzyka, szkolenia, działania zmierzające do zapewnienia bezpieczeństwa łańcucha dostaw, obsługa incydentów – to wszystko jest zawarte w nowych przepisach i wymaga procedur, technologii oraz ludzi. A tych brakuje. Według danych DESI 2022 w Polsce brakuje 50 tys. specjalistów IT z czego nawet 20 proc. z nich stanowią właśnie eksperci ds. cyberbezpieczeństwa - zwraca uwagę Wiktor Markiewicz.
Firmy będą musiały składać raporty, inaczej słono zapłacą
Szczególnie newralgiczna jest obsługa incydentów. Firmy będą musiały przekazać raport „o wczesnym ostrzeżeniu” w ciągu 24 godzin od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godzin. Na przedstawienie ostatecznego raportu mają miesiąc, a jeśli tego nie zrobią, grozi im kara finansowa w wysokości od 1,4 proc. globalnego obrotu lub 7 mln euro (w zależności od tego, która kwota jest wyższa) do 2 proc. globalnego obrotu lub 10 mln euro w przypadku istotnych podmiotów.
Oprócz kar finansowych NIS2 przewiduje też odpowiedzialność osobistą za nieprzestrzeganie przepisów. Może ona obejmować czasowy zakaz pełnienia funkcji kierowniczych, w tym na stanowiskach prezesów i rad nadzorczych.
Sporo firm i instytucji może mieć problem z przystosowaniem się na czas do nowych wymogów dyrektywy. Zmian organizacyjnych może być sporo, zależy to od obszaru funkcjonowania i wcześniejszych działań w obszarze bezpieczeństwa. To m.in. obowiązek stałego monitoringu incydentów w środowisku i infrastrukturze IT organizacji, właściwie zbudowane i zabezpieczone narzędzia oraz technologie chmurowe, usługi z zakresu Business Continuity jak Backup as a Service czy Disaster Recovery as a Service. Procedury wymagają dostosowania i przetestowania - wskazuje Sebastian Toczewski.
Natomiast dyrektywa NIS 2 przewiduje również, że organy będą mogły m.in. prowadzić kontrole, audyty i skany bezpieczeństwa, czy też występować z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przez dany podmiot.
Rafał Sałyga, dyrektor Go-To-Market Practice Solutions w NTT DATA, integratorze oferującym m.in. rozwiązania firmy Pure Storage, zwraca uwagę, że w kontekście wymagań regulacyjnych takich jak NIS2 czy DORA kluczowe jest prowadzenie regularnych przeglądów bezpieczeństwa, szkolenie pracowników z zakresu cyberbezpieczeństwa oraz implementacja kompleksowej strategii zarządzania ryzykiem cybernetycznym.
Rozwiązania do przechowywania danych są jednym z elementów tej układanki, ale ich skuteczność zależy od całościowego podejścia do kwestii bezpieczeństwa cybernetycznego – tłumaczy.
Z kolei Wiktor Markiewicz wskazuje, że niektóre organizacje uważają, że nadmierna ilość regulacji może prowadzić do nadmiernych kosztów dla firm, ograniczać innowacje i tworzyć zbędne biurokratyczne obciążenia. Dlatego jego zdaniem ważne jest, aby znaleźć równowagę między zapewnieniem bezpieczeństwa a zachowaniem elastyczności i innowacyjności w dziedzinie technologii.
