Polskie firmy ruszyły z przygotowaniami do wdrożenia unijnej dyrektywy NIS2

W dzisiejszych czasach prowadzenie biznesu przypomina niekiedy prawdziwą ruletkę, a przedsiębiorcy nauczyli się, by nie wykluczać żadnego scenariusza. Po pandemii przyszła wojna w Ukrainie, wysoka inflacja, wreszcie - prawdziwa lawina ataków cyberprzestępców, którzy za cel coraz częściej biorą nie największe koncerny, ale podmioty z sektora MŚP.

Zarówno działania hakerów, jak i skala zagrożenia zewnętrznego (sabotaż, groźba wybuchu szerszego konfliktu zbrojnego) nie umknęły uwadze instytucji unijnych i państw członkowskich UE. Te postanowiły więc zastąpić obowiązującą od sześciu lat dyrektywę NIS jej nową wersją, znacznie poszerzającą zakres podmiotów objętych cyfrowymi regulacjami oraz podwyższającą kary nakładane na te firmy, które na czas nie dostosują się do europejskich standardów.

Głównym celem NIS2 (ang. the Network and Information Security Directive) jest zapewnienie cyfrowej ochrony danych, którymi dysponują przedsiębiorstwa działające na obszarze Unii Europejskiej. Zgodnie z nowymi regulacjami, państwa członkowskie muszą wdrożyć między innymi krajową strategię cyberbezpieczeństwa oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości podmiotów objętych dyrektywą.

Dyrektywa nakłada m.in. na europejskie firmy obowiązek posiadania własnego systemu zarządzania ciągłością działania (ang. Business Continuity Plan, BCP) oraz gotowości do jego weryfikacji przez odpowiednie instytucje bądź służby. Intencja jest oczywista - UE robi wszystko, aby w przypadku sytuacji kryzysowej nie doszło do paraliżu ekonomicznego państw członkowskich, co mogłoby grozić niepokojami społecznymi, paniką i obniżeniem zdolności obronnych kontynentu.

Podmioty objęte NIS2 dzielą się na dwie kategorie: podmioty kluczowe (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz podmioty istotne, z których większość dotychczas nie podlegała rygorystycznym regulacjom. Jednak, jak przekonują eksperci, właściciele wszystkich firm - niezależnie od wielkości i branży - powinni jak najszybciej upewnić się, czy aby również ich nie będą obowiązywać przepisy unijnej dyrektywy. I to nawet w przypadku, gdy pozornie nie spełniają kryteriów sektorowych czy też tych związanych z przychodami bądź wielkością personelu.

Niektóre podmioty bowiem, takie jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności. Dodatkowo, ze względu na koncepcję odpowiedzialności w łańcuchu dostaw należy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych dyrektywą muszą również przestrzegać NIS2. W egzekwowaniu prawa pomóc mają drakońskie kary, sięgające co najmniej 10 milionów euro. To suma zawrotna, zwłaszcza dla małych i średnich przedsiębiorstw, których w Polsce jest obecnie ponad dwa miliony - tworzą one ok. 6,8 mln miejsc pracy, generując ponad połowę PKB kraju.

Polskie i europejskie firmy ruszyły więc z przygotowaniami do wdrożenia niezbędnych zmian w swym funkcjonowaniu, prowadząc swoisty wyścig z czasem - od daty wejścia w życie NIS2, czyli 16 stycznia 2023 roku, państwa członkowskie UE mają maksymalnie 21 miesięcy na wprowadzenie postanowień dyrektywy do prawa krajowego. Oznacza to, że zmian zgodnych z założeniami NIS2 w Polsce powinniśmy doczekać się nie później niż 17 października 2024 roku, jednak realistycznym scenariuszem pozostaje także przyspieszenie przez rząd ścieżki legislacyjnej, chociażby ze względu na toczący się za naszą wschodnią granicą konflikt zbrojny i stale rosnącą liczbę cyberataków.

Przedsiębiorcy muszą się jednak zmierzyć z dwoma fundamentalnymi wyzwaniami. Pierwszym z nich są olbrzymie koszty inwestycji w rozbudowę i unowocześnianie własnych działów IT. Eksperci szacują, że roczny koszt utrzymania systemu monitorowania i analizy cyberzagrożeń oraz profesjonalnego zespołu, posiadającego odpowiednie kwalifikacje i doświadczenie, przekracza 3 miliony złotych - a suma ta, wraz z inflacją oraz dynamiką wynagrodzeń, nieustannie rośnie. Tymczasem w ostatnich latach firmy szukają raczej sposobów na przysłowiowe „zaciskanie pasa” niż dodatkowe inwestycje.

Co więcej, w wielu punktach przepisy nowej dyrektywy UE nie są jasne: w dokumencie nie określono ram i komponentów wymaganej od przedsiębiorstw strategii ciągłości działania czy cyfrowej ochrony: one po prostu muszą je posiadać. Jak to w takich przypadkach bywa - lepiej nie liczyć na pobłażliwość czy elastyczność regulatora, tylko zrealizować „plan maksimum”, wykorzystując wszystkie narzędzia technologiczne i rynkowe, dzięki którym dana firma stanie się możliwie najlepiej przygotowana na kryzys czy incydent.

Dlatego dla już 2/3 organizacji w Polsce optymalnym rozwiązaniem okazuje się skorzystanie z usług profesjonalnych firm zewnętrznych, głównie wiodących operatorów telekomunikacyjnych, dysponujących zaawansowanym zapleczem technicznym i doświadczonymi kadrami. Jest to istotny wzrost względem ubiegłego roku, kiedy to tylko nieco ponad połowa przedsiębiorstw deklarowała zlecanie stworzenia polityki bezpieczeństwa dostawcom zewnętrznym. W większości przypadków firmy decydują się na outsoursing całościowy (więcej niż jeden model bądź proces), a tendencja ta cały czas rośnie.

W tym kontekście szczególną wartość dla utrzymania biznesu na europejskim rynku zyskują rozwiązania DRaaS (ang. Disaster Recovery as a Service), czyli model usług chmurowych pozwalający stworzyć kopię infrastruktury IT organizacji w środowisku cloud przygotowanym przez dostawcę. Nowoczesne rozwiązania DRaaS pozwalają nie tylko zadbać o odpowiednie zabezpieczenie i przywrócenie danych w razie awarii, ale również na niezauważalne dla użytkownika przełączanie się między centrami danych.

Rosnącą popularnością cieszy się również korzystanie z nowoczesnych i zlokalizowanych w kilku miejscach w kraju bądź poza jego granicami Centrów Przetwarzania Danych. Dzięki temu rozwiązaniu dana firma nie musi już inwestować wielkich środków w infrastrukturę czy kompetencje, gdyż po prostu przekazuje kopie swych danych do przechowywania doświadczonym, profesjonalnym inżynierom, którzy w każdym momencie będą w stanie odtworzyć pełne i nienaruszone rekordy oraz przywrócić działanie przedsiębiorstwa po awarii lub ataku hakerskim.

Eksperci wskazują również na szereg innych działań: stałą edukację pracowników, inwestowanie w ich kompetencje, przeprowadzanie profesjonalnych audytów bezpieczeństwa. Na końcu tej ścieżki znajduje się bowiem nie tylko możliwość dalszego funkcjonowania i rozwoju na wspólnym, europejskim rynku, zgodnie z wymogami dyrektywy NIS2, ale przede wszystkim - większe bezpieczeństwo cyfrowe każdej firmy, jej pracowników oraz klientów.

Źródło informacji: PAP MediaRoom