Administracja i służby publiczne oraz przedsiębiorstwa zaliczane do istotnych dla funkcjonowania danego kraju, tylko do 18 października tego roku mają czas na dostosowanie się do nowej unijnej dyrektywy o cyberbezpieczeństwie. Będą musiały „osiągnąć zgodność” z przepisami dotyczącymi cyberbezpieczeństwa obowiązującymi na terytorium Unii Europejskiej. To dostosowanie się będzie oczywiście kosztować. Kto się opóźni lub zaniecha stosowanych działań, grozić mu będą kary.
Kogo dotyczy NIS2
Do dyrektywy będą musiały się dostosować przede wszystkim podmioty kluczowe. Czyli takie, które po pierwsze prowadzą działalność w jednym z dziesięciu sektorów gospodarki: energetyce, transporcie, bankowości i infrastrukturze rynków finansowych, ochronie zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzaniu usługami ICT, w obszarze dot. przestrzeni kosmicznej lub są podmiotami administracji publicznej. Po drugie zaś znajdują się w grupie średnich lub dużych przedsiębiorstw (zatrudniają więcej niż 50 pracowników, a ich roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro).
Jeśli ktoś jednak sądzi, że dyrektywa go nie dotyczy, bo nie spełnia żadnego z powyższych warunków, to może się zdziwić. Dyrektywa NIS2 obejmuje bowiem również mikroprzedsiębiorstwa i małe firmy. O ile – jak to określono – „spełniają kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów bądź typów usług”. Przykładowo mogą to być kwalifikowani dostawcy usług zaufania, przedsiębiorcy – dostawcy usług DNS czy przedsiębiorcy prowadzący rejestry nazw, tzw. domen najwyższego poziomu.
Co to są „podmioty ważne”?
Na tym jednak nie koniec. Dyrektywa NIS2 wprowadza także pojęcie „podmiotów ważnych”, które co prawda nie spełniają kryteriów dla podmiotów kluczowych, jednak ich działalność ma znaczenie dla sprawnego funkcjonowania gospodarki. Mogą więc to być podmioty średniej wielkości działające we wskazanych sektorach „kluczowych” oraz średnie lub duże działające w sektorach „ważnych” – określonych w załączniku II do dyrektywy NIS2.
Łatwiej jest jednak określić, jakiego rodzaju są to firmy, czyli czym się zajmują. A zatem: sprzedają usługi pocztowe oraz kurierskie, zajmują się gospodarką odpadami, przetwarzaniem i dystrybucją chemikaliów, przetwarzaniem i dystrybucją żywności, produkcją przemysłową oraz prowadzą badania naukowe. W praktyce zatem dyrektywa dotyczy bardzo wielu przedsiębiorców.
Firmy nie są gotowe
We wspólnym raporcie CSO Council, EY Polska i Trend Micro pt. „W oczekiwaniu na NIS2: stan przygotowań” dokonano oceny przygotowania firm w Polsce na przyjęcie nowych przepisów. Generalnie raport wykazał brak przygotowania przedsiębiorców i to zarówno od strony technicznej, jak organizacyjnej i proceduralnej. By być zgodnymi z wymogami dyrektywy, przedsiębiorcy powinni podjąć liczne działania na rzecz cyberbezpieczeństwa, zwracając uwagę zwłaszcza na ochronę infrastruktury krytycznej, na zarządzanie incydentami IT oraz audyty bezpieczeństwa.
Koszty, koszty, koszty…
Działania, do których dyrektywa NIS2 obliguje przedsiębiorców powinny obejmować aktualizację systemów IT, wdrożenie rozwiązań bezpieczeństwa IT i przeprowadzenie audytów swoich systemów oraz procedur – czy są zgodne z zapisami dyrektywy. Nowe przepisy wymuszają także zmiany w procesach biznesowych firmy, co także będzie się wiązać z dodatkowymi kosztami. Przedsiębiorcy będą musieli przeszkolić na nowo specjalistów ds. cyberbezpieczeństwa, a jeśli takich nie mają, będą musieli ich zatrudnić.
To wszystko będzie kosztować, podobnie jak i stałe monitorowanie systemów, opracowanie reakcji na incydenty IT, regularne raportowanie o swojej gotowości czy audyty bezpieczeństwa.
Kary, kary, kary…
Wprowadzenie NIS2 wiąże się z ryzykiem sankcji za niewłaściwe przestrzeganie przepisów. Przewidziano kary finansowe i wyciąganie innych jeszcze konsekwencji. Kary te będą mogły być znaczące, a ich wysokość będzie zależeć od rodzaju naruszenia przepisów, wrażliwości zabezpieczanych danych oraz od skali działalności firmy.
Przykładowo: karę poniesie przedsiębiorca, jeśli nie zabezpieczy swoich systemów i danych zgodnie z wymaganiami dyrektywy NIS2. Kara grozi również za niezgłaszanie incydentów związanych z bezpieczeństwem.
Dokładna wysokość kar zależeć będzie od zapisów w prawie krajowym (przede wszystkim w ustawie o cyberbezpieczeństwie) oraz tzw. indywidualnych okoliczności.