Jakie czekają nas najważniejsze zmiany legislacyjne, dotyczące poprawy cyberbezpieczeństwa?
Z jednej strony mamy cyberataki ze strony naszych wschodnich sąsiadów, które wpływają na to, jak firmy muszą się zabezpieczać. Z drugiej strony Unia Europejska przyjęła zmiany prawne, które dotyczą zabezpieczenia się zarówno firm, jak i także całej administracji rządowej, samorządowej w zakresie prewencji cyberataków. Chodzi o dyrektywę NIS2, a także rozporządzenie DORA, czyli kolejną regulację dla sektora finansowego związanego z zabezpieczeniami w razie cyberataków. Mamy więc całą listę wymagań, którym musi sprostać około dwa miliony firm w Unii Europejskiej.
Jak dużej liczby krajowych firm będą dotyczyć regulacje związane z NIS2?
Szacujemy, że w Polsce jest około 100 tysięcy firm, które będą bezpośrednio dotknięte regulacją NIS2. To są firmy, które kupują usługi od swoich dostawców. Nowe wymagania muszą więc przenieść na cały łańcuch dostaw. Nagle okazuje się, że ze 100 tysięcy możemy mieć przykładowo 500 tysięcy firm, które muszą się dostosować do nowych wymagań prawnych.
Jakich zmian dotyczy dyrektywa NIS2?
Zawiera 11 bezpośrednich wymagań. Wśród nich są analizy i zarządzania ryzykiem, czy też identyfikacja i zarządzanie cyberincydentami. W przypadku RODO przyjęto wymaganie, że w ciągu 72 godzin incydent, dotyczący przykładowo wycieku danych osobowych, musi zostać opisany i zgłoszony do odpowiednich władz. Mówiono, że jest to niemożliwe do realizacji, wiele firm miało z tym kłopot. A w przypadku NIS2 będziemy mieć 24 godziny.
Jeżeli mówimy o incydencie, to konkretnie co może nimi być?
Takim incydentem jest przede wszystkim włamanie do systemu informatycznego firmy. Może ono skutkować zniszczeniem albo wykradzeniem danych.
Polskie firmy są na to dobrze przygotowane?
Muszą się odpowiednio przygotować. Aby zgłosić incydent nie wystarczy mieć dobrą chęć, ale trzeba mieć jeszcze narzędzia do tego, procedury i musi być świadomość pracowników. Jednym z zadań zarządów firm jest więc zwiększenie świadomości wśród pracowników, co to jest cyberbezpieczeństwo, cyberincydent.
Co grozi firmą jeżeli nie będą stosować nowych norm?
Utrata do dwóch procent światowego obrotu grupy kapitałowej, do której należy firma. Jeśli jakiś polski oddział dużej firmy kapitałowej nie zgłosi incydentu, to może grozić tej grupie kara w wysokości dwóch procent światowego przychodu.
Do kiedy jest czas na przygotowanie się do zmian?
Nasz parlament ma czas na przyjęcie polskich regulacji do 17 października tego roku. Będzie jeszcze vacatio legis. Trzeba założyć, że pierwszy, drugi kwartał przyszłego roku będzie momentem, w którym kilkadziesiąt, może sto tysięcy polskich firm będzie musiało działać zgodnie z dyrektywą.
Szef MON: Bezpieczeństwo jest najważniejszym zadaniem rządu
