Firmy w Polsce boją się unijnych regulacji w znacznie większym stopniu niż przedsiębiorcy z Europy Zachodniej – wynika z analiz IDC, jednej z największych firm doradczych na świecie. Dotyczy to zwłaszcza dostosowania się do przepisów dotyczących cyberbezpieczeństwa oraz prywatności danych – zauważają analitycy.
Najpierw RODO a teraz NIS2 i DORA – unijne regulacje spędzają sen z powiek przedsiębiorcom. Z badań IDC wynika, że prawie co trzecia firma w Europie obawia się dostosowania do nowych unijnych regulacji w obszarze cyberbezpieczeństwa. W Polsce ten wynik jest znacznie wyższy – blisko 41% przedsiębiorców uznaje je za najważniejsze wyzwanie z jakim będą musieli się oni zmierzyć na przestrzeni dwóch lat.
Na skróty:
Opóźniają wprowadzanie zmian
Bardzo wysoki odsetek firm obawia się także regulacji w obszarze prywatności danych. Tutaj znów te obawy są znacznie silniejsze i w Polsce – na ten aspekt zwraca uwagą aż 37% firm. Dla porównania, w krajach Europy Zachodniej podobne obawy wyraża 24% firm. W większym też stopniu niż za naszą zachodnią granicą obawiamy się regulacji w zakresie kontroli nad danymi – tutaj 33% przedsiębiorców w Polsce postrzega to jako duże wyzwanie – dla Europy Zachodniej ten wskaźnik wynosi 29%.
– Firmy w całej Europie obawiają się nowych regulacji, jednak silny lęk odczuwalny jest przede wszystkim w naszym regionie. Polska jest jednym z tych krajów, w których organizacje wyrażają największe obawy. Ma to oczywiście swoje konsekwencje – zauważa Wiktor Markiewicz, starszy analityk z firmy doradczej IDC. Jego zdaniem tak jak szefowie polskich firm negatywnie podchodzili do RODO, tak teraz dzieje się podobnie w obszarze cyberbezpieczeństwa. – W polskim podejściu charakterystyczne jest odwlekanie wprowadzania zmian. Tak jak w przypadku RODO, wiele organizacji czeka do ostatniej chwili na dostosowanie się do regulacji zamiast realizować działania z wyprzedzeniem metodą małych kroków – zauważa.
Unia ujednolica standardy
O jakie regulacje chodzi? W listopadzie ubiegłego roku Komisja Europejska przyjęła dwa ważne akty prawne mające na celu wzmocnienie cyberbezpieczeństwa i cyberodporności państw członkowskich i organizacji w całym bloku. Pierwszym z nich był Digital Operational Resilience Act (DORA), który obejmuje sektor finansowy i firmy świadczące usługi ICT oraz infrastrukturalne dla podmiotów z sektora finansowego. Drugą była długo oczekiwana aktualizacja dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS), znana jako NIS2. Ogólnym celem NIS2 jest zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa w obszarze infrastruktury krytycznej, we wszystkich państwach członkowskich, w perspektywie długoterminowej.
– Poprzednie przepisy wprowadzone w 2016 r. nie wpłynęły na poprawę bezpieczeństwa i ujednolicenie polityki i praktyk krajów UE w zakresie cyberbezpieczeństwa w takim stopniu, w jakim się tego spodziewano. W efekcie poziom cyberodporności przedsiębiorstw i instytucji publicznych jest dzisiaj bardzo zróżnicowany i w dużej mierze nie odpowiada dzisiejszym potrzebom – zwraca uwagę Wiktor Markiewicz z IDC. – W obliczu zmian geopolitycznych, wojny za wschodnią granicą Unii, wzmożonych cyberataków nie tylko na infrastrukturę krytyczną, nowe regulacje są niezbędne i działania Komisji Europejskiej należy uznać za proporcjonalne do zagrożeń. Nie zmienia to jednak faktu, że nowe obowiązki dla wielu firm są trudne do wprowadzenia i jednocześnie wymagające dla zarządów, bo to kadra menedżerska ma ponosić pełną odpowiedzialność za działania dostosowawcze – dodaje Wiktor Markiewicz z IDC.
Został rok
Pełen tekst dyrektywy NIS2 został opublikowany w Dzienniku Urzędowym Unii Europejskiej w dniu 27 grudnia 2022 r. i wszedł w życie 20 dni później (16 stycznia 2023 r.). Państwa członkowskie mają 21 miesięcy na dostosowanie dyrektywy do prawa krajowego. Oznacza to, że zaostrzone przepisy wejdą w życie 17 października 2024 r. Firmy będą musiały zrozumieć co i jak zrobić, by je wdrożyć. Choć ogólne ramy prawne są znane, to przedsiębiorstwa zwlekają z działaniami. To może oznaczać takie problemy jak w przypadku dostosowania się do wymagań RODO, gdzie okazało się, że po terminie wiele organizacji nie jest zgodnych z regulacjami.
– Dyrektywa NIS2, w porównaniu do poprzedniczki, obejmuje swoimi wytycznymi wiele nowych branż, również takich, które z technologiami de facto nie są związane. W praktyce nowe wymogi będą wpływać szeroko na rzeczywistość biznesową. Do tej pory gros organizacji zarządzało ryzykiem w sposób reaktywny lub wcale. Nowa legislacja wprowadzi dodatkowe wymogi dotyczące zarządzania ryzykiem i zabezpieczeń IT, co oczywiście będzie generować dodatkowe koszty. Według szacunków KE sprzed 3 lat, organizacje wcześniej nie objęte regulacjami będą musiały zwiększyć budżet na cyberbezpieczeństwo o około 22% w perspektywie 3-4 lat. W przypadku firm z sektorów, które wcześniej były już regulowane ma to być ok. 12%. Co ważne, już teraz należy uruchomić prace nad aktualizacją wewnętrznych procesów i weryfikować czy aktualni dostawcy usług IT wpisują się jakością w nowe standardy – mówi Sebastian Toczewski, IT Security Manager w Beyond.pl, dostawcy usług data center, chmury i Managed Services.
Największy problem mają te przedsiębiorstwa, które wcześniej nie podlegały żadnym regulacjom w zakresie cyberbezpieczeństwa a dyrektywa NIS2 to zmieniła. Zakres podlegania dyrektywie NIS2 został znacząco rozszerzony o kolejne sektory gospodarki. Dyrektywa NIS2 wprowadza także kryterium wielkości podmiotu, które w jasny sposób określa, jakie podmioty są nią objęte, a jakie nie. Do stosowania nowej dyrektywy będą zobowiązane również mikroprzedsiębiorstwa i małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.
– To dla nich bardzo duża zmiana, bo regulacje obejmują nie tylko kwestie technologiczne, ale też organizacyjne. Analiza ryzyka, szkolenia, działania zmierzające do zapewnienia bezpieczeństwa łańcucha dostaw, obsługa incydentów – to wszystko jest zawarte w nowych przepisach i wymaga procedur, technologii oraz ludzi. A tych brakuje. Według danych DESI 2022 w Polsce brakuje 50 tys. osób specjalistów IT z czego nawet 20% z nich stanowią właśnie eksperci ds. cyberbezpieczeństwa – zwraca uwagę Wiktor Markiewicz z IDC.
Spory problem
Szczególnie obsługa incydentów jest newralgiczna. Firmy będą musiały przekazać raport „o wczesnym ostrzeżeniu” w ciągu 24 godzin od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godzin. Mają miesiąc na przedstawienie ostatecznego raportu. Niedopełnienie tego obowiązku może skutkować karami finansowymi w wysokości od 1,4% globalnego obrotu lub 7 milionów euro (w zależności od tego, która kwota jest wyższa) do 2% globalnego obrotu lub 10 milionów euro w przypadku Istotnych podmiotów. Oprócz kar finansowych, NIS2 przewiduje też odpowiedzialność osobistą za nieprzestrzeganie przepisów. Może ona obejmować czasowy zakaz pełnienia funkcji kierowniczych, w tym na stanowiskach prezesów i rad nadzorczych.
Jak podkreśla Sebastian Toczewski z Beyond.pl: – Sporo firm i instytucji może mieć problem z przystosowaniem się na czas do nowych wymogów dyrektywy. Zmian organizacyjnych może być sporo, zależy to od obszaru funkcjonowania i wcześniejszych działań w obszarze bezpieczeństwa. To m.in. obowiązek stałego monitoringu incydentów w środowisku i infrastrukturze IT organizacji, właściwie zbudowane i zabezpieczone narzędzia oraz technologie chmurowe, usługi z zakresu Business Continuity jak Backup as a Service czy Disaster Recovery as a Service. Procedury wymagają dostosowania i przetestowania. Oceniamy, że pojawi się zwiększony popyt na usługi doradcze i audytowe oraz outsourcing całych obszarów objętych nowymi regulacjami, ale jesteśmy na to przygotowani.
To jednak nie wszystko. Dyrektywa NIS 2 przewiduje, że organy będą mogły m.in. prowadzić kontrole, audyty i skany bezpieczeństwa, czy też występować z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przed dany podmiot.
– Należy pamiętać, że w kontekście wymagań regulacyjnych takich jak NIS2 czy DORA kluczowe jest prowadzenie regularnych przeglądów bezpieczeństwa, szkolenie pracowników z zakresu cyberbezpieczeństwa oraz implementacja kompleksowej strategii zarządzania ryzykiem cybernetycznym. Rozwiązania do przechowywania danych są jednym z elementów tej układanki, ale ich skuteczność zależy od całościowego podejścia do kwestii bezpieczeństwa cybernetycznego – mówi Rafał Sałyga, dyrektor Go-To-Market Practice Solutions w NTT DATA, integratorze oferującym m.in. rozwiązania firmy Pure Storage.
– Są organizacje, które uważają, że nadmierna ilość regulacji może prowadzić do nadmiernych kosztów dla firm, ograniczać innowacje i tworzyć zbędne biurokratyczne obciążenia. Dlatego ważne jest, aby znaleźć równowagę między zapewnieniem bezpieczeństwa a zachowaniem elastyczności i innowacyjności w dziedzinie technologii – konkluduje Wiktor Markiewicz z IDC.