NA NIS2 poczekamy do 2025 - co nie znaczy, że warto zwlekać z przygotowaniami
Ministerstwo Cyfryzacji opublikowało nowy harmonogram prac nad wdrożeniem dyrektywy NIS2 w Polsce, przesuwając jego pełne wprowadzenie na 2025 rok. Projekt ustawy implementującej te regulacje jest obecnie na etapie konsultacji w Komitecie do spraw europejskich, a postęp prac można śledzić na stronie legislacja.gov.pl. Termin realizacji został wydłużony, nie oznacza to, że przedsiębiorcy mogą zwlekać z przygotowaniami. Obecne konsultacje dotyczą bowiem doprecyzowania szczegółów dotyczących podmiotów objętych nowymi obowiązkami oraz mechanizmów nadzoru, a nie ograniczenia zakresu regulacji czy łagodzenia kar.
Opóźnione wdrożenie NIS2 a przygotowania firm
Dyrektywa NIS2, będąca rozszerzeniem i uaktualnieniem wcześniejszych regulacji dotyczących cyberbezpieczeństwa (NIS1), została opracowana przez Unię Europejską z myślą o zwiększeniu odporności firm i instytucji na zagrożenia w cyberprzestrzeni. Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), której celem jest implementacja dyrektywy, wciąż nie została wprowadzona w życie na czas, co może prowadzić do nałożenia kar finansowych na Polskę za opóźnienia, podobnie jak miało to miejsce w przypadku europejskiego kodeksu łączności elektronicznej.
Ministerstwo Cyfryzacji przedstawiło w zeszłym tygodniu kolejny projekt nowelizacji, jednak zgodnie z nowym terminarzem, pełne wdrożenie przepisów przewiduje się najwcześniej na 2025 rok. Oznacza to, że firmy mają więcej czasu na dostosowanie się do nowych regulacji, jednakże, eksperci zwracają uwagę, że nie warto odkładać przygotowań na później.
Niezwłoczna potrzeba dostosowania się do nowych regulacji
Choć dyrektywa NIS2 nie weszła jeszcze w życie, cyberzagrożenia nie czekają na uchwalenie nowych przepisów. Wzrost liczby ataków ransomware, phishingu oraz innych form cyberprzestępczości, sprawia, że konieczne jest podjęcie działań zabezpieczających już teraz. Opóźnienia we wdrożeniu przepisów mogą prowadzić do zwiększenia tzw. „długu cyberbezpieczeństwa” – czyli zaniedbań w zakresie zabezpieczeń, które narażają firmy na poważne konsekwencje, takie jak utrata danych, naruszenie prywatności czy straty finansowe.
Dyrektywa NIS2 nakłada na firmy szereg nowych obowiązków, które mają na celu zwiększenie poziomu ochrony cyfrowej. Wśród nich znajdują się m.in. obowiązkowe audyty systemów bezpieczeństwa, konieczność wprowadzenia odpowiednich procedur zarządzania incydentami oraz zgłaszanie poważnych naruszeń. Warto jednak zauważyć, że Ministerstwo Cyfryzacji zdecydowało się na pewne ułatwienia, m.in. wprowadzenie cyklicznych audytów co 3 lata, a nie co 2 lata, jak pierwotnie planowano.
Pomimo pewnych udogodnień, firmy muszą liczyć się z dodatkowymi kosztami wynikającymi z implementacji nowych regulacji. Konieczność inwestowania w nowe technologie, szkolenia pracowników oraz zatrudnienie specjalistów ds. cyberbezpieczeństwa to wyzwania, które mogą znacząco wpłynąć na budżety przedsiębiorstw, zwłaszcza tych mniejszych. Dlatego im szybciej przedsiębiorcy podejmą działania, tym lepiej będą przygotowani na nadchodzące zmiany.
Zwiększone koszty dla firm
Implementacja NIS2 w Polsce, jak podkreślają eksperci, wiąże się z koniecznością poniesienia dodatkowych wydatków, zarówno na poziomie technologii, jak i kompetencji pracowników. Firmy będą musiały inwestować w zaawansowane systemy monitorowania i ochrony danych, a także w szkolenia personelu, co podniesie ich koszty operacyjne. W wielu przypadkach może to oznaczać także potrzebę zatrudnienia nowych specjalistów ds. cyberbezpieczeństwa.
Mimo że koszty te mogą wydawać się znaczące, w dłuższej perspektywie wdrożenie nowych przepisów przyczyni się do zwiększenia poziomu bezpieczeństwa cyfrowego. Zmniejszenie ryzyka cyberataków nie tylko uchroni przedsiębiorstwa przed stratami finansowymi, ale także przyczyni się do budowania zaufania klientów.
Nie wszyscy jednak podchodzą do nadchodzących regulacji z entuzjazmem. W szczególności sektor przemysłowy obawia się, że nowe przepisy mogą wiązać się z poważnymi obciążeniami finansowymi. Polsko-Chińska Główna Izba Gospodarcza (SinoCham) ostrzega, że polski przemysł może ponieść nawet 2 miliardy euro dodatkowych kosztów związanych z wdrożeniem nowych wymogów, co negatywnie wpłynie na eksport i wzrost gospodarczy w nadchodzących latach.
Dług cyberbezpieczeństwa – realne zagrożenie dla firm
Jednym z kluczowych wyzwań dla polskich przedsiębiorstw jest konieczność spłaty tzw. długu cyberbezpieczeństwa, który narósł przez lata zaniedbań w zakresie ochrony cyfrowej. Firmy, które do tej pory nie traktowały cyberbezpieczeństwa priorytetowo, będą musiały zmierzyć się z kosztownym procesem dostosowania swoich systemów do nowych regulacji. Dotyczy to zwłaszcza średnich i małych przedsiębiorstw, które mają mniejsze zasoby finansowe i techniczne.
Niestety, cyberbezpieczeństwo w wielu firmach nadal jest postrzegane jako dodatkowy koszt, a nie konieczność. W efekcie, firmy często koncentrują się na krótkoterminowych celach, takich jak rozwój produktów i usług, zaniedbując długoterminowe kwestie związane z ochroną danych i systemów. Takie podejście naraża je na poważne konsekwencje, w tym straty wynikające z ataków cybernetycznych.
Co dalej?
Ministerstwo Cyfryzacji, mimo przesunięcia terminu pełnego wdrożenia NIS2, podkreśla, że prace nad ustawą postępują zgodnie z harmonogramem, a konsultacje mają na celu doprecyzowanie szczegółów. Warto jednak pamiętać, że przygotowanie firm do nowych wymogów to proces czasochłonny, wymagający zarówno zmian technologicznych, jak i organizacyjnych.
Opóźnienia we wdrażaniu przepisów nie powinny być traktowane jako okazja do odkładania działań związanych z cyberbezpieczeństwem na później. W dobie rosnącej liczby zagrożeń cyfrowych, każda zwłoka może prowadzić do poważnych strat. Firma, która już teraz zainwestuje w systemy ochrony, będzie lepiej przygotowana na nadchodzące zmiany, a jednocześnie zmniejszy ryzyko wystąpienia kosztownych incydentów.
Nowa dyrektywa NIS2 stawia przed polskimi przedsiębiorcami liczne wyzwania, ale jednocześnie daje szansę na znaczące zwiększenie poziomu bezpieczeństwa cyfrowego w całym kraju.
Infrastruktura kosmiczna, zwłaszcza ta związana z satelitami, łącznością i nawigacją, została uznana za infrastrukturę krytyczną, która musi być chroniona przed potencjalnymi zagrożeniami cybernetycznymi. Firmy kosmiczne muszą teraz stosować bardziej rygorystyczne standardy ochrony swoich systemów, zarówno w przestrzeni kosmicznej, jak i na Ziemi.