Dyrektywa NIS2, która wesz?a w ?ycie 16 stycznia 2023 roku, uchyli?a dotychczas obowi?zuj?cy akt prawny z 2016. Ten krok ma kluczowe znaczenie dla wzmocnienia cyberbezpiecze?stwa w organizacjach, które s? filarami infrastruktury krytycznej. W wyniku tych zmian lista sektorów, bran? i obszarów gospodarki podlegaj?cych regulacjom w dziedzinie bezpiecze?stwa cyfrowego zosta?a rozszerzona o dziewi?? pozycji. Co istotne, dyrektywa NIS2 ma zastosowanie zarówno do podmiotów dzia?aj?cych w sektorze publicznym, jak i prywatnym, które ?wiadcz? us?ugi lub prowadz? dzia?alno?? w Unii Europejskiej, spe?niaj?c jednocze?nie kryteria klasyfikuj?ce je jako ?rednie przedsi?biorstwa. Wed?ug wprowadzonej w nowelizacji klasyfikacji podmioty, których dotycz? nowe przepisy, dziel? si? na kluczowe i wa?ne. Organizacje ?wiadcz?ce us?ugi kluczowe to te, których zak?ócenie dzia?alno?ci zwi?zane z cyberatakami mo?e spowodowa? powa?ne konsekwencje spo?eczno-gospodarcze, zalicza si? wi?c do nich m.in. równie? sektor administracji publicznej.
Liczba cyberataków ro?nie w coraz szybszym tempie, st?d dynamicznie przybywa te? nowych wyzwa? w tym obszarze. Pomimo istotnej poprawy poziomu cyberbezpiecze?stwa w Unii Europejskiej po wdro?eniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zacz??a si? nasila?. W du?ej mierze jest to zwi?zane z przyspieszon? transformacj? cyfrow? spo?ecze?stwa, której pocz?tkiem by?a pandemia COVID-19. Zauwa?ono, ?e organy odpowiedzialne za cyberbezpiecze?stwo ma?o rygorystycznie podchodzi?y do kwestii reagowania na incydenty i usuwania ich skutków – mówi Micha? Kurek, Partner, Szef Zespo?u Cyberbezpiecze?stwa w KPMG w Polsce i Europie ?rodkowo-Wschodniej.
Dyrektywa NIS2 – jak przygotowa? organizacj? do wdro?enia zasad?
Wiele organizacji postrzega osi?gni?cie zgodno?ci swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. Zdaniem tych podmiotów jest to zbiór zasad, których nale?y przestrzega? i d??y? do spe?nienia wymaganego minimum. W rzeczywisto?ci jednak, te zasady, które zosta?y przedstawione w ramach znowelizowanego aktu stanowi? podstaw? i ?rodek do osi?gania wy?szego poziomu cyberbezpiecze?stwa. Skoordynowane i dostosowane regulacje s? kluczowe dla wzmocnienia odporno?ci organizacji na cyberataki. Jednak ich spójno?? i wdro?enie stanowi? wyzwanie dla organów nimi zarz?dzaj?cych. Liderzy biznesowi musz? rozwa?a? wszelkie konsekwencje wprowadzanych procedur, które mog? wp?yn?? na dostawców us?ug, klientów i innych kluczowych partnerów wspó?tworz?cych ca?y ?a?cuch dostaw. Powinni równie? stale monitorowa?, czy wprowadzane zmiany s? zgodne z nowymi przepisami.
Nieprzypisanie odpowiedzialno?ci za cyberbezpiecze?stwo konkretnym osobom czy zespo?om w organizacji mo?e skutkowa? przeoczeniem zagro?e?. Tematyka cyberbezpiecze?stwa w systemach OT (Operational Technology) nie jest jeszcze w takim stopniu upowszechniona jak ma to miejsce w przypadku systemów IT, a w ?wietle regulacji NIS2 harmonizacja ?rodków bezpiecze?stwa wdra?anych na obu tych p?aszczyznach jest konieczna. Ponadto organizacje musz? zmierzy? si? z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklaj? konieczno?? wskazywania zespo?ów odpowiedzialnych za cyberbezpiecze?stwo w organizacjach obj?tych dyrektyw? NIS2 – mówi ?ukasz Staniak, Dyrektor w Zespole Cyberbezpiecze?stwa w KPMG w Polsce.
