1/4 firm w kraju nie wie, że są objęte dyrektywą

Data publikacji: 25.03.2024 r.

cyberbezpieczeństwo dyrektywa NIS 2 NIS2

Wymóg szkoleń

Dyrektywa NIS2 wprowadza także wymóg szkoleń, w których udział powinni brać również członkowie zarządów oraz kadra kierownicza. W przypadku szeregowych pracowników mówi się także o zachowaniu zasad cyberhigieny.

Zaskoczeniem dla wielu przedsiębiorców może być fakt, że kierowana przez nich organizacja może podlegać pod dyrektywę NIS2. Z jednej strony nowe prawo należy uważać za uzupełnienie ustawy z 5 lipca 2018 roku o krajowym systemie bezpieczeństwa (ustawa o KSC). Jej zapisami według szacunków było dotąd objętych kilkaset podmiotów. Tymczasem NIS2 może dotyczyć nawet kilku tysięcy organizacji.

– Wiele z nich nie jest przygotowanych. Szacuje się, że 1/4 firm w Polsce nawet nie wie, że powinny być objęte dyrektywą NIS2. Także to już stanowi dość duże wyzwanie na samym początku. Czas, który został nałożony, to jest październik 2024 roku na przystosowanie naszych organizacji do wymogów dyrektywy NIS2 – mówi Paweł Śmigielski.

Firma doradcza EY wskazuje, że nowa unijna dyrektywa to rewolucja w kwestii budowania cybernetycznej odporności dla wielu sektorów gospodarki. 36 proc. ankietowanych nie analizowało jeszcze tej dyrektywy. 30 proc. przyjrzało się temu zagadnieniu, ale nie odnotowało istotnego wpływu na realizowany sposób działania. To może oznaczać, że nie wszystkie organizacje zdają sobie w pełni sprawę, jakie następstwa niesie NIS2. Mowa o takich aspektach jak np. raportowanie zagrożeń czy obowiązek szyfrowania.

Jak się zachować w przypadku incydentu?

W ostatnim czasie doszło do kilku groźnych incydentów w obszarze cyberbezpieczeństwa. Zdaniem ekspertów oprócz głośnych przypadków związanych z jednym z laboratorium czy platformami dostawców takie zdarzenia dzieją się każdego tygodnia. Niestety liczba podobnych zdarzeń cały czas rośnie.

– Z mojego punktu widzenia warto zaznaczyć, że incydent to jest coś, czego nie należy się bać. Incydenty były, są i będą i także dyrektywa NIS2 kładzie na to duży nacisk. Chodzi o to, żeby firmy czy organizacje przygotowywały plany ciągłości działania. Powinny także budować kompetencje w zakresie cyberodporności, czyli przywracania firmy, organizacji do normalnego funkcjonowania po wystąpieniu incydentu – stwierdza ekspert.

W tym przypadku kluczowe jest „nauczenie się życia z takim incydentem” i odpowiednia reakcja nałożona literalnie przez przepisy NIS2. W zależności od zdarzenia podmioty mają 24 i 72 godz. na przekazanie informacji o zdarzeniu do odpowiednich organów. Z drugiej strony dyrektywę należy traktować jak drogowskaz co do koniecznych zmian w samej organizacji.

_{Źródło: Newseria}