Wkrótce nowy obowiązek dla części firm w Polsce. Niedostosowanie się do dyrektywy NIS2 grozi karami

Maciej Korneluk

31 maja 2024 (07:00) / Aktualizacja: 29 maja 2024 (11:15) Komentuj teraz!

Do 17 października 2024 roku instytucje mają czas, by wprowadzić nowe zabezpieczenia przed cyberatakami. Obowiązek ten dotyczy jedynie części podmiotów rynkowych, jednak kary za jego nieprzestrzeganie będą dotkliwe.

Wprowadzenie nowych zabezpieczeń przed cyberatakami. To istota zastosowania dyrektywy NIS2 w swojej działalności. Jak wynika z raportu „W oczekiwaniu na NIS2: stan przygotowań” – CSO Council, EY Polska, Trend Micro, aż 25% z firm, których dotyczy nowa dyrektywa, nie jest tego świadoma. A niewiedza w tym wypadku może drogo kosztować. Nieprzestrzeganie nowych przepisów oznaczać będzie karę finansową w kwocie do 10 mln euro. Dla podmiotów kluczowych będzie to 2% światowych obrotów.

Warto przeczytać: Skarbówka zyska informacje o internetowych sprzedawcach. Sejm wprowadza dyrektywę DAC7

Zabezpieczenie kluczowych sektorów

Dyrektywa NIS2 ma zabezpieczyć czułe punkty państw unijnych na wypadek ataków terrorystycznych, sabotaży, czy zwłaszcza cyberataków. Podmioty, które przetwarzają dane osobowe, a także kluczowe informacje związane z bezpieczeństwem, mają być odporne na najnowsze rodzaje zagrożeń. Właśnie dzięki dodatkowym obowiązkom. Jako przykłady instytucji, które obejmie dyrektywa NIS2, podaje się: szpitale i placówki medyczne, instytucje finansowe, sektor obronny i placówki edukacyjne.

NIS2 w praktyce

Podstawowe obowiązki związane z nową dyrektywą obejmować będą 4 zasadnicze obszary. Pierwszym zadaniem będzie wprowadzenie odpowiednich systemów alarmowych. Mają one zapewnić właściwy obieg informacji. Będą także zawierać instrukcje reagowania firmy na zagrożenia bezpieczeństwa. Drugim obszarem jest powołanie w firmie zespołu odpowiedzialnego za te reakcje. Oprócz głównego inspektora bezpieczeństwa ds. bezpieczeństwa danych będzie to również inspektor ochrony danych. 

Firmy mają być również zobowiązane do prowadzenia stałych, cyklicznych audytów bezpieczeństwa. Ich istotą ma być analiza dostosowania do NIS2 działań podmiotu w sytuacji ryzyka. Ostatni obszar to wprowadzenie właściwego systemu reakcji na incydenty. Władze podmiotu muszą zostać ostrzeżone o zagrożeniu w ciągu 24 godzin od incydentu. 

Czas na działanie

Eksperci są zgodni — zastosowanie nowych przepisów to trudny, ciągły i długoterminowy projekt. By przebiegł właściwie, kluczową jest rola Ministerstwa Cyfryzacji. Ważne, by jak najszybciej przygotowało wytyczne, które wskażą objęte nowym obowiązkiem podmioty. Powinny objaśnić im również, w jaki sposób przygotować się na zmiany. Czas na przygotowanie się do pierwszego audytu NIS2 zainteresowane podmioty będą miały do końca 2028 roku.

„Od 2028 r. firmy będą musiały co roku udowadniać zgodność swojej infrastruktury informatycznej z NIS2. Powstanie obowiązek udokumentowania, że podjęły odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, które odpowiadają najnowszemu stanowi wiedzy i obowiązującym normom” – podsumowuje Wojciech Głażewski z firmy Check Point.

Warto przeczytać: Nowe prawo konsumentów. Projekt noweli ustawy przyjęty przez rząd