fbpx
czwartek, 25 kwietnia, 2024
Strona głównaInnowacjeDyrektywa o kolejnych kosztach i karach

Dyrektywa o kolejnych kosztach i karach

Do 18 października przedsiębiorcy mają czas na dostosowanie się do wymogów unijnej dyrektywy NIS2, która ma podnieść poziom bezpieczeństwa informatycznego. To nie jest propozycja, tylko obligo dla wielu przedsiębiorców, którzy muszą się przygotować na poniesienie nowych kosztów.

Administracja i służby publiczne oraz przedsiębiorstwa zaliczane do istotnych dla funkcjonowania danego kraju, tylko do 18 października tego roku mają czas na dostosowanie się do nowej unijnej dyrektywy o cyberbezpieczeństwie. Będą musiały „osiągnąć zgodność” z przepisami dotyczącymi cyberbezpieczeństwa obowiązującymi na terytorium Unii Europejskiej. To dostosowanie się będzie oczywiście kosztować. Kto się opóźni lub zaniecha stosowanych działań, grozić mu będą kary.

Kogo dotyczy NIS2

Do dyrektywy będą musiały się dostosować przede wszystkim podmioty kluczowe. Czyli takie, które po pierwsze prowadzą działalność w jednym z dziesięciu sektorów gospodarki: energetyce, transporcie, bankowości i infrastrukturze rynków finansowych, ochronie zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzaniu usługami ICT, w obszarze dot. przestrzeni kosmicznej lub są podmiotami administracji publicznej. Po drugie zaś znajdują się w grupie średnich lub dużych przedsiębiorstw (zatrudniają więcej niż 50 pracowników, a ich roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro).

Jeśli ktoś jednak sądzi, że dyrektywa go nie dotyczy, bo nie spełnia żadnego z powyższych warunków, to może się zdziwić. Dyrektywa NIS2 obejmuje bowiem również mikroprzedsiębiorstwa i małe firmy. O ile – jak to określono – „spełniają kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów bądź typów usług”. Przykładowo mogą to być kwalifikowani dostawcy usług zaufania, przedsiębiorcy – dostawcy usług DNS czy przedsiębiorcy prowadzący rejestry nazw, tzw. domen najwyższego poziomu.

Co to są „podmioty ważne”?

Na tym jednak nie koniec. Dyrektywa NIS2 wprowadza także pojęcie „podmiotów ważnych”, które co prawda nie spełniają kryteriów dla podmiotów kluczowych, jednak ich działalność ma znaczenie dla sprawnego funkcjonowania gospodarki. Mogą więc to być podmioty średniej wielkości działające we wskazanych sektorach „kluczowych” oraz średnie lub duże działające w sektorach „ważnych” – określonych w załączniku II do dyrektywy NIS2.

Łatwiej jest jednak określić, jakiego rodzaju są to firmy, czyli czym się zajmują. A zatem: sprzedają usługi pocztowe oraz kurierskie, zajmują się gospodarką odpadami, przetwarzaniem i dystrybucją chemikaliów, przetwarzaniem i dystrybucją żywności, produkcją przemysłową oraz prowadzą badania naukowe. W praktyce zatem dyrektywa dotyczy bardzo wielu przedsiębiorców.

Firmy nie są gotowe

We wspólnym raporcie CSO Council, EY Polska i Trend Micro pt. „W oczekiwaniu na NIS2: stan przygotowań” dokonano oceny przygotowania firm w Polsce na przyjęcie nowych przepisów. Generalnie raport wykazał brak przygotowania przedsiębiorców i to zarówno od strony technicznej, jak organizacyjnej i proceduralnej. By być zgodnymi z wymogami dyrektywy, przedsiębiorcy powinni podjąć liczne działania na rzecz cyberbezpieczeństwa, zwracając uwagę zwłaszcza na ochronę infrastruktury krytycznej, na zarządzanie incydentami IT oraz audyty bezpieczeństwa.

Koszty, koszty, koszty…

Działania, do których dyrektywa NIS2 obliguje przedsiębiorców powinny obejmować aktualizację systemów IT, wdrożenie rozwiązań bezpieczeństwa IT i przeprowadzenie audytów swoich systemów oraz procedur – czy są zgodne z zapisami dyrektywy. Nowe przepisy wymuszają także zmiany w procesach biznesowych firmy, co także będzie się wiązać z dodatkowymi kosztami. Przedsiębiorcy będą musieli przeszkolić na nowo specjalistów ds. cyberbezpieczeństwa, a jeśli takich nie mają, będą musieli ich zatrudnić.

To wszystko będzie kosztować, podobnie jak i stałe monitorowanie systemów, opracowanie reakcji na incydenty IT, regularne raportowanie o swojej gotowości czy audyty bezpieczeństwa.

Kary, kary, kary…

Wprowadzenie NIS2 wiąże się z ryzykiem sankcji za niewłaściwe przestrzeganie przepisów. Przewidziano kary finansowe i wyciąganie innych jeszcze konsekwencji. Kary te będą mogły być znaczące, a ich wysokość będzie zależeć od rodzaju naruszenia przepisów, wrażliwości zabezpieczanych danych oraz od skali działalności firmy.

Przykładowo: karę poniesie przedsiębiorca, jeśli nie zabezpieczy swoich systemów i danych zgodnie z wymaganiami dyrektywy NIS2. Kara grozi również za niezgłaszanie incydentów związanych z bezpieczeństwem.

Dokładna wysokość kar zależeć będzie od zapisów w prawie krajowym (przede wszystkim w ustawie o cyberbezpieczeństwie) oraz tzw. indywidualnych okoliczności.

Artykuł powstał m.in. na podstawie raportu przygotowanego przez CSO Council, EY Polska i Trend Micro.
Robert Azembski
Robert Azembski
Dziennikarz z ponad 30-letnim doświadczeniem; pracował m.in. w „Rzeczpospolitej”, „Wprost” , „Gazecie Bankowej” oraz wielu innych tytułach prasowych i internetowych traktujących o gospodarce, finansach i ekonomii. Chociaż specjalizuje się w finansach, w tym w bankowości, ubezpieczeniach i rynku inwestycyjnym, nieobce są mu problemy przedsiębiorców, przede wszystkim z sektora MŚP. Na łamach magazynu „Forum Polskiej Gospodarki” oraz serwisu FPG24.PL najwięcej miejsca poświęca szeroko pojętej tematyce przedsiębiorczości. W swoich analizach, raportach i recenzjach odnosi się też do zagadnień szerszych – ekonomicznych i gospodarczych uwarunkowań działalności firm.

INNE Z TEJ KATEGORII

Przed nami Nowa Era?

Są wynalazki i przełomy, które zmieniają oblicze cywilizacji. Takim było wynalezienia koła, druku czy maszyny parowej. Dziś mówimy o przełomie związanym ze sztuczną inteligencją. Pytanie, jak bardzo zmieni ona nasz świat? Niektórzy mówią o Nowej Erze Sztucznej Inteligencji, która nastąpi – a w zasadzie już następuje – po Erze Wiary i Erze Rozumu.
5 MIN CZYTANIA

Jesteś „pod wpływem”? Nie ruszysz autem

Amerykańska Krajowa Administracja ds. Bezpieczeństwa Ruchu Drogowego (NHTSA) chce wykonać zalecenie Kongresu, by wszystkie nowe auta miały zainstalowaną technologię uniemożliwiającą prowadzenie pod wpływem alkoholu.
< 1 MIN CZYTANIA

Polskie firmy doceniają nowe technologie

Coraz więcej polskich przedsiębiorstw eksportowych korzysta lub ma zamiar korzystać z najnowocześniejszych technologii.
2 MIN CZYTANIA

INNE TEGO AUTORA

Jak ożywić martwy parkiet nad Wisłą?

Giełda Papierów Wartościowych w Warszawie nie służy tak naprawdę ani inwestycjom indywidulanym, ani małym i średniej wielkości firmom. Tym pierwszym w założeniu miała dawać okazje do zysków, dla tych drugich zaś być miejscem pozyskiwania kapitału na rozwój. Tymczasem uciekają z niej zarówni mali, jak duzi.
4 MIN CZYTANIA

Jesteś „pod wpływem”? Nie ruszysz autem

Amerykańska Krajowa Administracja ds. Bezpieczeństwa Ruchu Drogowego (NHTSA) chce wykonać zalecenie Kongresu, by wszystkie nowe auta miały zainstalowaną technologię uniemożliwiającą prowadzenie pod wpływem alkoholu.
< 1 MIN CZYTANIA

Obojętnie, co zrobimy, klimat i tak będzie się zmieniał

Nawet zupełne zaprzestanie emisji CO2 pochodzącego z przemysłu nie wpłynie na zatrzymanie zmian klimatu na Ziemi – przekonuje w zamieszczonym we „Wprost” artykule pt. „Klimat a Człowiek” prof. dr hab. inż. Piotr Wolański, przewodniczący Komitetu Badań Kosmicznych i Satelitarnych PAN.
4 MIN CZYTANIA