Ocenia on, że dziś przedsiębiorstwa w Polsce są różnie przygotowane do wdrożenia nowych przepisów, ale i oczekiwania regulacyjne wobec nich są zróżnicowane. Dyrektywa NIS 2 obejmuje wiele sektorów, w których występują średni i duzi przedsiębiorcy, a także – jak w sektorze infrastruktury cyfrowej – nawet mikroprzedsiębiorcy i mali przedsiębiorcy. Za pozytywne uważa on, że pierwsze efekty wdrożenia dyrektywy NIS 2 już są widoczne, bo wiele podmiotów ma świadomość, że są „podmiotami NIS” lub „podmiotami KSC 2.0”.
Kinga Pawłowska-Nojszewska, radca prawny w Kancelarii Prawnej Media ocenia, że najtrudniejszą kwestią związaną z wdrażaniem nowych przepisów będzie konieczność dokonania zmiany całościowego funkcjonowania organizacji. Chcąc sprostać wprowadzonym wymaganiom, nie wystarczy bowiem ograniczyć się do zakupu odpowiedniego programu do monitorowania systemu informacyjnego lub wynajęcia wyspecjalizowanego podmiotu, który będzie odpowiedzialny za cyberbezpieczeństwo.
– Wielu przedsiębiorców, wychodzi z założenia, że cyberbezpieczeństwo to jest po prostu koszt sprzętu i oprogramowania. Jednak w przypadku wdrażania zaleceń dyrektywy NIS 2 to nie zadziała, bo sednem tych przepisów jest zmiana całościowa funkcjonowania organizacji, która ma doprowadzić do zapewnienia odpowiednio wysokiego poziomu cyberbezpieczeństwa – przestrzega Kinga Pawłowska-Nojszewska w rozmowie z TELKO.in, którą opublikujemy w raporcie.
Z kolei firma EY w swej ubiegłorocznej publikacji „Nowe obowiązki w cyberbezpieczeństwie – ryzyko nadregulacji” stwierdza, że bezpośrednie koszty zmian związana z nowelizacją KSC będą zróżnicowane w zależności od wielkości oraz specyfiki działalności przedsiębiorstwa, ale na pewno niemałe.
– Podstawowym wydatkiem, z którym będą musieli się liczyć przedsiębiorcy, będzie zakup lub aktualizacja systemów IT (w tym zaawansowanych rozwiązań zabezpieczających). Koszty te mogą się wahać od kilkudziesięciu tysięcy złotych dla małych firm, po kwoty liczone w milionach dla dużych korporacji, przetwarzających znaczący wolumen danych. Inwestycje w szkolenia pracowników z zakresu cyberbezpieczeństwa są kolejnym istotnym elementem kosztów nadchodzących zmian. Szkolenia będą niezbędne, aby personel mógł skutecznie zarządzać systemami i reagować na incydenty. Również nowy obowiązek związany z cyklicznym prowadzeniem audytów bezpieczeństwa będzie dodatkowym wydatkiem – wskazuje EY.
Marcin Wysocki z resortu cyfryzacji podważa te szacunki.
– Proszę zapytać autorów takich szacunków o szczegóły ich wyliczeń. Kiedy zadawałem takie pytania, dostawałem informacje, że w szacunkach brane są pod uwagę np. koszty wymiany ogółu sprzętu ICT od dostawców spoza NATO. Jeżeli tak jest, to nie są to dane wiarygodne – mówi.
Trzeba jednak pamiętać, że mimo różnic w szacowaniu kosztów, regulacja NIS, czyli poprzedniczka NIS 2, pociągnęła za sobą szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Można więc założyć, że przy wdrażaniu NIS 2 i wprowadzaniu wysokich kar za niedostosowanie się do przepisów, fala inwestycji w cyberbezpieczeństwo będzie miała miejsce.