Actus des entreprises • Membres
Cyberbezpieczeństwo: firmy mają tylko rok na wdrożenie dyrektywy NIS2
Warszawa, 17 października 2023 r.
Zgodnie z dyrektywą NIS2 wprowadzającą nowe ramy odpowiedzialności w zakresie nadzoru i zarządzania ryzykiem związanym z cyberbezpieczeństwem, organizacje objęte regulacją znajdują się teraz w decydującym okresie implementacyjnym. Równo 12 miesięcy mają firmy działające w sektorze publicznym i prywatnym państw członkowskich UE, aby dostosować się do nowych standardów, w tym m.in. przygotować własną politykę organizacyjną, określić procedury operacyjne i wybrać technologie wspierające cały proces.
Dyrektywa NIS2, która weszła w życie 16 stycznia 2023 roku, uchyliła dotychczas obowiązujący akt prawny z 2016. Ten krok ma kluczowe znaczenie dla wzmocnienia cyberbezpieczeństwa w organizacjach, które są filarami infrastruktury krytycznej. W wyniku tych zmian lista sektorów, branż i obszarów gospodarki podlegających regulacjom w dziedzinie bezpieczeństwa cyfrowego została rozszerzona o dziewięć pozycji. Co istotne, dyrektywa NIS2 ma zastosowanie zarówno do podmiotów działających w sektorze publicznym, jak i prywatnym, które świadczą usługi lub prowadzą działalność w Unii Europejskiej, spełniając jednocześnie kryteria klasyfikujące je jako średnie przedsiębiorstwa. Według wprowadzonej w nowelizacji klasyfikacji podmioty, których dotyczą nowe przepisy, dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności związane z cyberatakami może spowodować poważne konsekwencje społeczno-gospodarcze, zalicza się więc do nich m.in. również sektor administracji publicznej.
Liczba cyberataków rośnie w coraz szybszym tempie, stąd dynamicznie przybywa też nowych wyzwań w tym obszarze. Pomimo istotnej poprawy poziomu cyberbezpieczeństwa w Unii Europejskiej po wdrożeniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zaczęła się nasilać. W dużej mierze jest to związane z przyspieszoną transformacją cyfrową społeczeństwa, której początkiem była pandemia COVID-19. Zauważono, że organy odpowiedzialne za cyberbezpieczeństwo mało rygorystycznie podchodziły do kwestii reagowania na incydenty i usuwania ich skutków – mówi Michał Kurek, Partner, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Jak przygotować organizację do wdrożenia zasad zawartych w dyrektywie NIS2?
Wiele organizacji postrzega osiągnięcie zgodności swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. Zdaniem tych podmiotów jest to zbiór zasad, których należy przestrzegać i dążyć do spełnienia wymaganego minimum. W rzeczywistości jednak, te zasady, które zostały przedstawione w ramach znowelizowanego aktu stanowią podstawę i środek do osiągania wyższego poziomu cyberbezpieczeństwa. Skoordynowane i dostosowane regulacje są kluczowe dla wzmocnienia odporności organizacji na cyberataki. Jednak ich spójność i wdrożenie stanowią wyzwanie dla organów nimi zarządzających. Liderzy biznesowi muszą rozważać wszelkie konsekwencje wprowadzanych procedur, które mogą wpłynąć na dostawców usług, klientów i innych kluczowych partnerów współtworzących cały łańcuch dostaw. Powinni również stale monitorować, czy wprowadzane zmiany są zgodne z nowymi przepisami.
Nieprzypisanie odpowiedzialności za cyberbezpieczeństwo konkretnym osobom czy zespołom w organizacji może skutkować przeoczeniem zagrożeń. Tematyka cyberbezpieczeństwa w systemach OT (Operational Technology) nie jest jeszcze w takim stopniu upowszechniona jak ma to miejsce w przypadku systemów IT, a w świetle regulacji NIS2 harmonizacja środków bezpieczeństwa wdrażanych na obu tych płaszczyznach jest konieczna. Ponadto organizacje muszą zmierzyć się z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklają konieczność wskazywania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacjach objętych dyrektywą NIS2 – mówi Łukasz Staniak, Dyrektor w Zespole Cyberbezpieczeństwa w KPMG w Polsce.
O KPMG:
KPMG jest globalną organizacją niezależnych firm świadczących usługi profesjonalne z zakresu audytu, doradztwa podatkowego i doradztwa gospodarczego. KPMG działa w 143 krajach i zatrudnia ponad 265 000 pracowników w firmach członkowskich na całym świecie. Każda z firm KPMG jest odrębnym podmiotem prawa. KPMG International Limited jest prywatną spółką angielską z odpowiedzialnością ograniczoną do wysokości gwarancji. KPMG International Limited i podmioty z nią powiązane nie świadczą usług na rzecz klientów. W Polsce KPMG działa od 1990 roku. Obecnie zatrudnia ponad 2100 osób w Warszawie, Krakowie, Poznaniu, Wrocławiu, Gdańsku, Katowicach i Łodzi. Więcej na stronie kpmg.pl.
****
Kontakt dla mediów:
Krzysztof Krzyżanowski, e-mail: kkrzyzanowski(@)kpmg.pl, tel.: +48 22 528 11 14 lub 508 047 582
Jakub Malczewski, e-mail: jmalczewski(@)kpmg.pl, tel.: +48 22 528 15 72 lub 605 511 308
Patrycja Kowalczyk, e-mail: patrycjakowalczyk(@)kpmg.pl, tel.: +48 22 528 11 87 lub 664 718 676
****
Współadministratorami Pana/Pani danych osobowych są Spółki wchodzące w skład sieci KPMG w Polsce, (tj. KPMG Sp. z o.o., KPMG Sp. z o.o. sp. k., KPMG Audyt Sp. z o.o., KPMG Audyt Services Sp. z o.o., KPMG Audyt Sp. z o.o. sp. k., KPMG Advisory Sp. z o.o. sp. k., KPMG Tax M.Michna Sp. k., KPMG Usługi Księgowe Sp. z o.o., KPMG Law Bajno Stopyra spółka komandytowa, KPMG Restructuring Sp. z o. o.). Pana/Pani dane osobowe będą przetwarzane w celu umożliwienia kontaktu Biura Prasowego KPMG z przedstawicielami mediów, w tym nawiązanie z Panem/Panią kontaktu oraz dostarczenie Panu/Pani w tym celu informacji technicznych. Pełna informacja o przetwarzaniu danych osobowych dostępna jest w Polityce prywatności w sekcji "Przedstawiciele mediów".
Document Classification: KPMG Public.