Jak dyrektywa NIS 2 wpłynie na polskie przedsiębiorstwa? Kluczowe zmiany w cyberbezpieczeństwie w 2025 roku
    Jak dyrektywa NIS 2 wpłynie na polskie przedsiębiorstwa? Kluczowe zmiany w cyberbezpieczeństwie w 2025 roku
    Aktualności

    Jak dyrektywa NIS 2 wpłynie na polskie przedsiębiorstwa? Kluczowe zmiany w cyberbezpieczeństwie w 2025 roku

    05 grudnia 2024

    Autor: Tomasz Wiertelak

    Dyrektywa NIS 2 wprowadza nowe unijne standardy cyberbezpieczeństwa, które wpłyną na kluczowe sektory gospodarki, takie jak energetyka, bankowość czy ochrona zdrowia. Polskie przedsiębiorstwa muszą przygotować się na dodatkowe obowiązki, w tym raportowanie incydentów i inwestycje w ochronę IT. W jaki sposób przygotować się na nowe regulacje, które zaczną obowiązywać w 2025 roku?

    Dyrektywa NIS 2 (Network and Information Security) to nowe przepisy unijne, które mają na celu wzmocnienie cyberbezpieczeństwa w Europie. Dyrektywa nakłada na państwa członkowskie obowiązki związane z wdrożeniem środków zarządzania ryzykiem w sektorach krytycznych, takich jak energetyka, transport, bankowość, opieka zdrowotna oraz infrastruktura cyfrowa. Zgodnie z wytycznymi unijnymi kraje członkowskie powinny dostosować unijną dyrektywę do 17 października 2024, a zacząć ją stosować już od 18 października 2024 roku. Przedłużające się prace nad dostosowaniem polskiej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa i pojawiające się co chwilę nowe projekty tejże nowelizacji (ostatni projekt został opublikowany na stronach Rządowego Centrum Legislacji 22 listopada br) spowodowały, że wdrożenie wymogów dyrektywy NIS2 w naszym kraju zacznie funkcjonować nie wcześniej niż w drugim kwartale 2025 roku.

    Kluczowe zmiany i rozszerzenie sektorów krytycznych

    Głównym celem dyrektywy NIS 2 jest poprawa odporności na cyberzagrożenia w całej Unii Europejskiej. Przepisy mają zwiększyć poziom ochrony przed atakami hakerskimi oraz innymi zagrożeniami cyfrowymi, poprzez wprowadzenie jednolitych ram regulacyjnych i zobowiązanie krajów członkowskich do współpracy w zakresie cyberbezpieczeństwa. Dyrektywa nakłada obowiązki zarówno na sektor publiczny, jak i prywatny, szczególnie w obszarach kluczowych dla gospodarki, takich jak energetyka, finanse czy infrastruktura cyfrowa. W praktyce, dyrektywa wymaga od przedsiębiorstw wdrożenia systemów zarządzania ryzykiem związanym z zagrożeniem ze strony cyberprzestępców oraz ustanowienia mechanizmów monitorowania i reagowania na incydenty związane 
    z cyberbezpieczeństwem.
    Dyrektywa NIS 2 znacząco rozszerza (w stosunku do obecnej ustawy o Krajowym Systemie Cyberbezpieczeństwa) sektory uznane za krytyczne dla funkcjonowania państwa i gospodarki. Wśród nich znajdują się:
    • Energetyka – w tym produkcja, dystrybucja i przesył energii elektrycznej, gazu, ropy naftowej oraz wodoru.
    • Transport – lotniczy, kolejowy, drogowy oraz wodny.
    • Bankowość i finanse – instytucje kredytowe, operatorzy systemów obrotu i inne podmioty infrastruktury finansowej.
    • Ochrona zdrowia – szpitale, producenci leków i wyrobów medycznych.
    • Infrastruktura cyfrowa – dostawcy usług chmurowych, centra przetwarzania danych, sieci telekomunikacyjne.
    • Administracja publiczna – na szczeblu centralnym i regionalnym, z wyjątkiem sądownictwa i organów zajmujących się bezpieczeństwem narodowym.

    Wyzwania dla polskich przedsiębiorstw

    Dla polskich przedsiębiorców oznacza to, że firmy działające w tych sektorach będą musiały wdrożyć nowe mechanizmy ochrony przed cyberzagrożeniami, a także przygotować się na regularne kontrole i audyty dotyczące ich zabezpieczeń informatycznych.
    Implementacja dyrektywy NIS 2 wiąże się z licznymi wyzwaniami dla polskich przedsiębiorstw. Po pierwsze, będą musiały one zainwestować w nowoczesne technologie służące ochronie sieci i systemów IT. Wiąże się to z koniecznością modernizacji infrastruktury IT, zatrudnieniem specjalistów ds. cyberbezpieczeństwa oraz wdrożeniem procedur zarządzania incydentami.
    Kolejnym wyzwaniem jest sprawozdawczość. Firmy będą zobowiązane do raportowania incydentów związanych z cyberbezpieczeństwem do wyznaczonych organów państwowych, co wymaga odpowiednich narzędzi do monitorowania zagrożeń i zdolności do szybkiego reagowania. Niedopełnienie obowiązków sprawozdawczych może skutkować poważnymi sankcjami finansowymi.
    Choć dyrektywa NIS 2 dotyczy głównie średnich i dużych przedsiębiorstw, co w praktyce oznacza, że mniejsze firmy będą w większości przypadków wyłączone spod jej bezpośrednich regulacji. Niemniej jednak, małe i średnie przedsiębiorstwa, które dostarczają usługi dla większych podmiotów, będą musiały spełniać standardy bezpieczeństwa wymagane przez swoich kontrahentów.

    Znaczenie ochrony cybernetycznej dla firm

    Warto pamiętać o tym, że każda firma bez wyjątku może paść ofiarą ze strony cyberprzestępców i choć wdrożenie wymogów wynikających z dyrektywy NIS2 i ustawy o Krajowym Systemie Cyberbezpieczeństwa dotyczy wyłącznie wskazanych podmiotów kluczowych i ważnych, a także ich dostawców, to każdy z przedsiębiorców niezależnie od wielkości prowadzonego biznesu powinien rozważyć implementację elementów ochrony przez cyberzagrożeniami w postaci zarówno środków technicznych jak i organizacyjnych. 
    Projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa przewiduje również szereg sankcji dla firm i ich menadżerów, które nie spełnią wymogów wynikających z ustawy. Kary te mogą być szczególnie dotkliwe dla firm, które zignorują obowiązek zgłaszania incydentów lub nie wdrożą adekwatnych procedur ochronnych.

    Korzyści wynikające z wdrożenia dyrektywy

    Jak możemy się domyślać wdrożenie wymogów dyrektywy NIS 2 (UKSC) będzie wiązało się z wieloma trudnościami i kosztami, to powinno przynieść firmom wymierne korzyści wynikające z poprawy poziomu zabezpieczeń teleinformatycznych i lepsze zarządzanie ryzykiem związanym z cyberzagrożaniami. Zapewne przełoży się to na większą stabilność biznesową i zwiększy zaufanie klientów. Dzięki zwiększonym systemom ochrony firmy mogą uniknąć kosztownych przestojów działalności wynikających z cyber ataków, a także minimalizować ryzyko utraty wrażliwych danych.
    I choć dziś nie ma jeszcze krajowych przepisów firmy powinny jak najszybciej podjąć kroki w celu oceny swojego stanu bezpieczeństwa teleinformatycznego, gdyż vacatio legis dla nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa planowane jest tylko na 1 miesiąc od daty podpisania. Ważnym elementem przygotowań jest przeprowadzenie audytów bezpieczeństwa, dzięki którym można zidentyfikować luki w systemach IT oraz istniejących procesach i procedurach, a także opracować plan ich usunięcia. Firmy powinny również zadbać o szkolenie swoich pracowników w zakresie cyberbezpieczeństwa (wg raportu firmy ESET ponad 50% pracowników polskich firm w ciągu ostatnich 5 lat nie miało szkolenia z zakresu cyberbezpieczeństwa), by zwiększyć u nich świadomość zagrożeń i nauczyć właściwej reakcji na incydenty. W dzisiejszych czasach to właśnie pracownik często stanowi pierwszą linię obrony.
    Podsumowując dyrektywa NIS 2 i idąca za nią Ustawa o Krajowym Systemie Cyberbezpieczeńswa wprowadza nowe standardy w zakresie cyberbezpieczeństwa, które będą miały znaczący wpływ na polskich przedsiębiorców, zwłaszcza w sektorach kluczowych dla gospodarki. Choć jej wdrożenie wiąże się z pewnymi kosztami i wyzwaniami, to długoterminowo przyniesie korzyści w postaci lepszej ochrony przed cyberzagrożeniami, większego zaufania klientów oraz stabilności operacyjnej. Polscy przedsiębiorcy powinni już teraz podjąć działania przygotowawcze, aby zdążyć z wdrożeniem nowych regulacji w pierwszym półroczu 2025 roku.
    cyberbezpieczeństwo: Tomasz Wiertelak

    cyberbezpieczeństwo: Tomasz Wiertelak

    Ekspert z obszaru cyberbezpieczeństwa, białego wywiadu, dezinformacji oraz cloud computing.

    Czytaj więcej

    Chcesz porozmawiać z ekspertem? Skontaktuj się z nami:
    Powered by