Przejdź do treści

Polskie firmy przygotowują się do wdrożenia unijnej dyrektywy NIS2

Fot. free-images.com

W ostatnich latach fala cyberataków dosłownie zalała Europę – tylko w Polsce w 2022 r. aż 69 proc. firm zanotowało przynajmniej jeden incydent bezpieczeństwa. W odpowiedzi na ten kryzys UE przygotowała dyrektywę aktualizującą i zaostrzającą przepisy regulujące funkcjonowanie biznesu w przestrzeni cyfrowej – poinformowała PAP MediaRoom. Przedsiębiorcom na dostosowanie się do nowych standardów pozostało maksymalnie kilkanaście miesięcy.

UE robi wszystko, aby w przypadku sytuacji kryzysowej nie doszło do paraliżu ekonomicznego państw członkowskich

Głównym celem NIS2 (ang. the Network and Information Security Directive) jest zapewnienie cyfrowej ochrony danych, którymi dysponują przedsiębiorstwa działające na obszarze UE. Zgodnie z nowymi regulacjami, państwa członkowskie muszą wdrożyć między innymi krajową strategię cyberbezpieczeństwa oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości podmiotów objętych dyrektywą. Dyrektywa nakłada m.in. na europejskie firmy obowiązek posiadania własnego systemu zarządzania ciągłością działania (ang. Business Continuity Plan, BCP) oraz gotowości do jego weryfikacji przez odpowiednie instytucje bądź służby. Intencja jest oczywista – UE robi wszystko, aby w przypadku sytuacji kryzysowej nie doszło do paraliżu ekonomicznego państw członkowskich, co mogłoby grozić niepokojami społecznymi, paniką i obniżeniem zdolności obronnych kontynentu.

Polskie i europejskie firmy ruszyły z przygotowaniami do wdrożenia niezbędnych zmian w swym funkcjonowaniu

Podmioty objęte NIS2 dzielą się na dwie kategorie: podmioty kluczowe (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz podmioty istotne, z których większość dotychczas nie podlegała rygorystycznym regulacjom. Jednak, jak przekonują eksperci, właściciele wszystkich firm – niezależnie od wielkości i branży – powinni jak najszybciej upewnić się, czy aby również ich nie będą obowiązywać przepisy unijnej dyrektywy. I to nawet w przypadku, gdy pozornie nie spełniają kryteriów sektorowych czy też tych związanych z przychodami bądź wielkością personelu. Polskie i europejskie firmy ruszyły z przygotowaniami do wdrożenia niezbędnych zmian w swym funkcjonowaniu, prowadząc swoisty wyścig z czasem – od daty wejścia w życie NIS2, czyli 16 stycznia 2023 r., państwa członkowskie UE mają maksymalnie 21 miesięcy na wprowadzenie postanowień dyrektywy do prawa krajowego. Oznacza to, że zmian zgodnych z założeniami NIS2 w Polsce powinniśmy doczekać się nie później niż 17 października 2024 r., jednak realistycznym scenariuszem pozostaje także przyspieszenie przez rząd ścieżki legislacyjnej, chociażby ze względu na toczący się za naszą wschodnią granicą konflikt zbrojny i stale rosnącą liczbę cyberataków.

W wielu punktach przepisy nowej dyrektywy UE nie są jasne

Przedsiębiorcy muszą się jednak zmierzyć z dwoma fundamentalnymi wyzwaniami. Pierwszym z nich są olbrzymie koszty inwestycji w rozbudowę i unowocześnianie własnych działów IT. Eksperci szacują, że roczny koszt utrzymania systemu monitorowania i analizy cyberzagrożeń oraz profesjonalnego zespołu, posiadającego odpowiednie kwalifikacje i doświadczenie, przekracza 3 miliony złotych – a suma ta, wraz z inflacją oraz dynamiką wynagrodzeń, nieustannie rośnie. Tymczasem w ostatnich latach firmy szukają raczej sposobów na przysłowiowe „zaciskanie pasa” niż dodatkowe inwestycje. Co więcej, w wielu punktach przepisy nowej dyrektywy UE nie są jasne: w dokumencie nie określono ram i komponentów wymaganej od przedsiębiorstw strategii ciągłości działania czy cyfrowej ochrony: one po prostu muszą je posiadać. Jak to w takich przypadkach bywa – lepiej nie liczyć na pobłażliwość czy elastyczność regulatora, tylko zrealizować „plan maksimum”, wykorzystując wszystkie narzędzia technologiczne i rynkowe, dzięki którym dana firma stanie się możliwie najlepiej przygotowana na kryzys czy incydent.

W większości przypadków firmy decydują się na outsourcing całościowy, a tendencja ta cały czas rośnie

Dlatego dla już 2/3 firm w Polsce optymalnym rozwiązaniem okazuje się skorzystanie z usług profesjonalnych firm zewnętrznych, głównie wiodących operatorów telekomunikacyjnych, dysponujących zaawansowanym zapleczem technicznym i doświadczonymi kadrami. Jest to istotny wzrost względem ubiegłego roku, kiedy to tylko nieco ponad połowa przedsiębiorstw deklarowała zlecanie stworzenia polityki bezpieczeństwa dostawcom zewnętrznym. W większości przypadków firmy decydują się na outsourcing całościowy (więcej niż jeden model bądź proces), a tendencja ta cały czas rośnie.

W tym kontekście szczególną wartość dla utrzymania biznesu na europejskim rynku zyskują rozwiązania DRaaS (ang. Disaster Recovery as a Service), czyli model usług chmurowych pozwalający stworzyć kopię infrastruktury IT organizacji w środowisku cloud przygotowanym przez dostawcę. Nowoczesne rozwiązania DRaaS pozwalają nie tylko zadbać o odpowiednie zabezpieczenie i przywrócenie danych w razie awarii, ale również na niezauważalne dla użytkownika przełączanie się między centrami danych – zauważa PAP MediaRoom.
Udostępnij: