NIS 2? Coś wiemy, ale nie do końca

Czy firmy w Polsce są gotowe na NIS 2? Badanie Fortinet przeprowadzone wśród firm, które będą objęte dyrektywą, wykazało, że ponad połowa z nich nie wiedziała, czy nowe przepisy będą ich dotyczyły.

fot. Pixabay

Badanie świadomości przedsiębiorstw w Polsce na temat dyrektywy NIS 2 zostało przeprowadzone na zlecenie firmy Fortinet przez centrum badawczo-rozwojowe Biostat. Przeprowadzono je na grupie 150 średnich i dużych podmiotów z branży produkcyjnej, energetycznej, infrastruktury cyfrowej, ochrony zdrowia, produkcji żywności oraz transportowej.

Dla przypomnienia - NIS 2 jest rozszerzeniem obowiązującej od 2016 roku dyrektywy NIS, powstałej w celu ujednolicenia zasad cyberbezpieczeństwa w Unii Europejskiej. Oprócz nowych obowiązków, w skład których wchodzi m.in. zabezpieczanie łańcuchów dostaw, zaktualizowany akt zwiększa również grupę podmiotów, które mają mu podlegać. Podczas gdy dyrektywa NIS koncentrowała się na operatorach usług kluczowych, NIS 2 uwzględnia także średnie i duże firmy z różnych branż, jak energetyka, infrastruktura cyfrowa oraz opieka zdrowotna. Oznacza to, że część podmiotów objętych rozszerzoną wersją dyrektywy nie podlegała jej pierwszemu wariantowi.

Zobacz również:

  • Google oferuje łatwiejsze włączanie zaawansowanej ochrony konta
  • Wielka dziura w odporności

Choć wielu respondentów (niemal 75 %) słyszało o wchodzącej w życie w październiku (18.10.2024) dyrektywie NIS 2, ponad połowa badanych (51 %) nie potrafiła stwierdzić, czy ich firmy zostaną objęte nowymi regulacjami, a 12% uważało, że nowe przepisy nie będą ich dotyczyły.

„Fakt, że tak wiele firm nie zdaje sobie sprawy, iż podlega dyrektywie NIS 2, jest alarmujący. Wśród uczestników badania obecni byli również respondenci, którzy uważali, że nadchodzące zmiany ich nie dotyczą. Odpowiedź tę wyjaśniali przywołując błędne argumenty, takie jak to, że nie świadczą usług dla struktur państwowych. Jednakże, kwestia ta nie zwalnia podmiotu z przestrzegania wytycznych zawartych w NIS 2” – zauważa Jolanta Malak, dyrektorka Fortinet w Polsce.

Ankietowani, poproszeni o wskazanie czynników stanowiących największe wyzwania związane z osiągnięciem zgodności z dyrektywą NIS 2, wskazali kolejno:

1. obowiązek wprowadzenia polityki ryzyka i bezpieczeństwa systemów informatycznych

2. warunek zapewnienia ciągłości działania procesów w obliczu cyberataku

3. konieczność wprowadzenia standardów, które pomagałyby w ocenie skuteczności środków zarządzania ryzykiem.

Dodatkowo, przedstawiciele przedsiębiorstw zwracali uwagę na niewystarczającą klarowność regulacji zawartych w NIS 2. Treść dyrektywy jest zrozumiała jedynie dla 46 % respondentów, a 43 % nie było w stanie udzielić jednoznacznej odpowiedzi na to pytanie. Pozostali uznali, że przepisy NIS 2 są dla nich niezrozumiałe – dotyczy to firm, które słyszały o dyrektywie oraz nie zaprzeczały, że zostaną nią objęte.

Przedsiębiorstwa nie mogą zignorować wymogów, jakie nakłada na nie unijna dyrektywa. Pomijając (tylko na chwilę) priorytet kształtowania europejskiej cyberodporności w odpowiedzi na aktualne i przyszłe zagrożenia, warto zainteresować się NIS2 choćby ze względu na konsekwencje finansowe, przygotowane przez regulatora. Firmy i instytucje, które nie wdrożą wymaganych zmian, muszą liczyć się z koniecznością zapłacenia grzywny w wysokości nawet 10 milionów euro lub 2 % ich światowych obrotów. W związku z tym alarmujący jest fakt, iż w grupie firm, które słyszały o dyrektywie oraz nie zaprzeczały, że będą nią objęte, 27 % badanych nie zdaje sobie sprawy z potencjalnych konsekwencji wynikających z niedostosowania się do unijnych wymogów.

Robi się więc poważnie, a czasu nie zostało wcale dużo. Oczywiście, poza samą świadomością podlegania lub nie dyrektywie NIS2, ważne są posiadane kompetencje do określenia zgodności własnych procedur z wymogami dyrektywy. „Część firm już teraz korzysta lub planuje skorzystać z usług podmiotów doradczych oraz konsultingowych. Drugą popularną opcją jest stworzenie wewnętrznych zespołów odpowiedzialnych za sprawdzanie zgodności działalności przedsiębiorstwa z regulacjami przedstawionymi w NIS 2” – wyjaśnia Jolanta Malak.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200