18 października 2024 r. wejdzie w życie nowa odsłona unijnej dyrektywy NIS z 2016 r. – NIS2, dotycząca cyberbezpieczeństwa. W związku z tym CSO Council, EY Polska i Trend Micro opracowały raport „W oczekiwaniu na NIS2: stan przygotowań”, który analizuje gotowość firm w Polsce na przyjęcie nowych przepisów. Ankieta została przeprowadzona wśród 60 CISO (Chief Information Security Officer) i menedżerów ds. bezpieczeństwa z największych przedsiębiorstw w Polsce w IV kwartale 2023 r.
Ustawa o krajowym stanie cyberbezpieczeństwa w dalszym ciągu nie została znowelizowana, więc organizacje mogą bazować jedynie na wytycznych unijnych. Nie dziwi więc 60 proc. respondentów, którzy wskazali brak informacji o sposobie implementacji regulacji w polskim prawie jako główne wyzwanie. Dodatkowo 25 proc. podmiotów nie ma świadomości, że podlega nowym regulacjom. Na pytanie, czy organizacja będzie podlegać regulacjom NIS2, 13 proc. wskazało odpowiedź „nie wiem”, a kolejne 12 proc. odpowiedziało „nie”, mimo że reprezentują podmioty, na których funkcjonowanie nowa dyrektywa będzie miała wpływ.
Na jesieni pojawią się dwie istotne zmiany w związku z NIS2. Pierwsza to nałożony na nowe podmioty obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie, a druga - możliwość nakładania kar. Zaistnieje również podział na dwie grupy organizacji – kluczowe i ważne. Do pierwszej z nich należą te działające w dziesięciu kluczowych sektorach, zatrudniające co najmniej 50 pracowników oraz o rocznym obrocie przekraczającym 10 mln EUR. W przypadku podmiotów kluczowych kary mogą wynieść nawet 10 mln EUR lub 2 proc. łącznego światowego obrotu. Do drugiej należą m.in. firmy średniej wielkości z kluczowych sektorów, dostawcy usług cyfrowych i pocztowych oraz producenci żywności. Te podmioty mogą otrzymać karę do 7 mln EUR lub 1,4 proc. łącznego światowego obrotu w poprzednim roku. Zostanie wprowadzony również obowiązek szkoleń z zakresu cyberbezpieczeństwa dla pracowników i testy bezpieczeństwa.
Jedynie 38 proc. badanych przedsiębiorstw uważa, że dostosowanie się do nowych regulacji będzie zadaniem na tyle wymagającym, że planują w tym celu uruchomienie oddzielnego projektu. Połowa z nich (51 proc.) zamierza przeprowadzić zmiany w ramach bieżących działań, a niemal 10 proc. w ogóle nie rozważa podjęcia dodatkowych aktywności związanych z dostosowaniem do NIS2.
45 proc. ankietowanych jako przeszkodę wskazało brak odpowiedniej liczby specjalistów w obszarze, 28 proc. uważa, że dysponuje nieadekwatnym budżetem. Tylko 34 proc. firm zamierza zwiększyć nakłady na cyberbezpieczeństwo. U kolejnych 32 proc. pozostaną one na takim samym poziomie pomimo większych potrzeb.