NIS2 to dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Określa ona standardy dla państw członkowskich w tym zakresie. Co to znaczy?
Dzięki dyrektywie wiadomo, jakie powinny być ramy współpracy między państwami i standardy „kultury bezpieczeństwa” dla wszystkich sektorów o kluczowym znaczeniu. Chodzi głównie o te sektory, które opierają się na sieciach ICT, takich jak energia, transport, woda, bankowość, infrastruktura rynku finansowego, opieka zdrowotna i infrastruktura cyfrowa.
Nieco luźniejsze zasady obejmują już sporą część gospodarki. Objęte są nimi: przemysł i produkcja, przetwarzanie i dystrybucja żywności (w tym cały handel spożywczy), usługi pocztowe i kurierskie.
Przepisy dotyczą głównie średnich i dużych firm, zatrudniających powyżej 50 osób. Mogą jednak dotyczyć też firm małych, jeśli ich rola jest krytyczna dla jakiegoś sektora. Dotyczy to zwłaszcza firm infrastruktury internetowej, takich jak dostawcy usług DNS czy rejestry nazw domen najwyższego poziomu.
Co wynika ze wspólnego raportu EY Polska, CSO Council i Trend Micro, opartego na ankietach wysłanych do firm podlegających regulacji? Ok. 36% tych firm w ogóle nie zajmowała się kwestią, czy nowe przepisy wpłyną na ich model cyberbezpieczeństwa. Kolejne 15% wie, że czekają je spore zmiany w tym zakresie, ale dotąd nie zaczęły ich jeszcze wdrażać.
Czy firmy są w ogóle świadome regulacji?
Odpowiedź na pytanie, czy firmy są niegotowe na NIS2, to również pytanie o świadomość firm, ich menedżerów i pracowników. Uprzednio przytoczone dane z ankiety mogą bowiem być nadmiernie optymistyczne.
Jak podaje raport, relatywnie niewiele odpowiedzi na ankietę otrzymano od firm, które nie były objęte poprzednią dyrektywą NIS, a są objęte NIS2. Może to świadczyć o tym, że w ogóle nie są one świadome tego, że przepisy NIS2 się do nich stosują.
Przedsiębiorstwa mają czas do 18 października, by dostosować się do przepisów dyrektywy. No i tu mamy problem. Dyrektyw nie stosuje się bezpośrednio, ich wdrażanie na gruncie lokalnym należy do przepisów krajowych. Tych jednak brak.
Poprzedniemu rządowi nie udało się przygotować nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Nowy rząd nie ma takiego projektu nawet w swoim wykazie prac legislacyjnych.
Niedawno pisaliśmy o tym, jakie powinny być priorytety rządu w zakresie cyberbezpieczeństwa.
Podstawowym problemem dla firm w dostosowaniu się do nowych przepisów jest właśnie brak ustawy (czy choćby projektu ustawy) implementującej NIS2 do krajowego porządku prawnego. Ok. 60% badanych firm postrzega to jako wyzwanie. Drugim co do ważności problemem, wymienianym przez 45% firm, jest brak odpowiednich specjalistów.
Źródło obrazka: Sztuczna inteligencja. model Dall-E 3