Wczoraj mijał termin wdrożenia dyrektywy NIS2 do krajowych porządków prawnych, która nakłada na przedsiębiorstwa i administrację publiczną dodatkowe wymogi w zakresie cyberbezpieczeństwa. Jak jednak wiadomo, w Polsce nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma wdrożyć zapisy dyrektywy, ma szansę być u uchwalona najwcześniej w I kw. 2025 r.
Z tego powodu wile firm, które będą objęte nowymi przepisami, może się cieszyć. Jak bowiem wynika z badań Asseco Cloud, aż 21 proc. przedsiębiorstw nie jest gotowych na ich spełnienie, a 65 proc. jest w trakcie przygotowań.
Na mocy NIS2, organizacje są zobligowane do wdrożenia zaawansowanych środków technicznych i organizacyjnych, wprowadzenia właściwych polityk bezpieczeństwa, a także zapewnienia ciągłości działania w przypadku wystąpienia cyberincydentu. Dyrektywa wprowadza również obowiązek regularnej analizy i oceny ryzyka, a ponadto monitorowania i raportowania poważnych incydentów w ciągu 24 godzin od ich wykrycia. NIS2 ma na celu zacieśnienie współpracy oraz usprawnienie wymiany informacji między państwami Unii Europejskiej, co ma przyspieszyć reakcję na zagrożenia w przestrzeni cyfrowej na poziomie międzynarodowym.
– Chcąc zapewnić zgodność z NIS2 biznes powinien wdrożyć oprogramowanie umożliwiające skanowanie infrastruktury pod kątem podatności, a także rozwiązania zapewniające ciągłości działania (w tym backup danych i narzędzia do przywracania systemów po awarii). Nie mniej ważne są cykliczne audyty bezpieczeństwa i szkolenia pracowników – mówi Krzysztof Jurkanis, kierownik Produktu Usługi Cloud i Data Center, Asseco Cloud.
Jak wynika z danych Asseco Cloud wśród usług, które mają zapewnić zgodność z NIS2 organizacje najczęściej wymieniają:
- Monitorowanie i zarządzanie incydentami oraz zagrożeniami – 50 proc.
- Backup bezpieczeństwa danych – 46 proc.
- Disaster Recovery as a Service – 18 proc.
Dyrektywa wprowadza podział na podmioty kluczowe reprezentujące m.in. sektor energetyczny, finansowy czy administrację publiczną oraz podmioty ważne np. firmy kurierskie, produkcyjne czy dostawców usług cyfrowych. Co istotne pod NIS2 podlegają również podmioty znajdujące się w łańcuchu dostaw organizacji ujętych w rozporządzeniu. To oznacza, że nowe wymogi dotyczące cyberbezpieczeństwa mogą dotyczyć nawet przedsiębiorstw, które nie reprezentują branży uwzględnionej przez ustawodawcę.