W ostatnich latach obserwujemy intensyfikację działań legislacyjnych w obszarze cyberbezpieczeństwa, zarówno na poziomie Unii Europejskiej, jak i w Polsce. Nowe regulacje, takie jak dyrektywa NIS2 (Network and Information Security Directive 2), rozporządzenie DORA (rozporządzenie w sprawie operacyjnej odporności sektora finansowego) oraz nowelizacja polskiej ustawy o krajowym systemie cyberbezpieczeństwa (KSC) mają być odpowiedzią na rosnąca liczbę cyberataków, które dotykają nie tylko podmioty publiczne, ale i coraz więcej przedsiębiorstw.
Weź udział w konferencji "CIO Leadership Summit", 20 lutego 2025, Warszawa >>
NIS2 i nowelizacja ustawy o KSC – co się zmienia?
Dyrektywa NIS2, która weszła w życie w 2023 roku, ma na celu ujednolicenie przepisów dotyczących cyberbezpieczeństwa w krajach UE oraz objęcie regulacjami szerszej grupy podmiotów. Termin na jej transpozycję do porządków krajowych minął 17 października 2024 roku, z którego to obowiązku wywiązało się jednak jak dotychczas jedynie 11 państw członkowskich. W Polsce, dostosowanie krajowych przepisów do wymogów NIS2 nastąpi w drodze nowelizacji ustawy o KSC z 2018 r. Prace nad nowymi przepisami nadal trwają, a najbardziej aktualny projekt ustawy został opublikowany na stronach Rządowego Centrum Legislacji 6 grudnia 2024 roku (z datą 2 grudnia 2024 roku). Zgodnie z zapowiedziami Ministerstwa Cyfryzacji, nowa ustawa zostanie uchwalona w 2025 roku, najpewniej z miesięcznym vacatio legis. Polscy przedsiębiorcy powinni zatem liczyć się z koniecznością zmierzenia się z nowymi obowiązkami jeszcze w tym roku.
Nowa dyrektywa, a w ślad za nią projektowane zmiany w przepisach krajowych, poszerzają katalog podmiotów objętych regulacjami, m.in. o administrację publiczną (z wyjątkami), zarządzanie usługami ICT (technologie informacyjno-komunikacyjne), usługi pocztowe, przemysł spożywczy, ścieki, gospodarowanie odpadami, produkcję, badania naukowe i przestrzeń kosmiczną. Znika także funkcjonujący na gruncie dyrektywy NIS1 podział na „operatorów usług kluczowych” i „dostawców usług cyfrowych”, który zastąpiony zostaje rozróżnieniem na podmioty „kluczowe” i „ważne”. Istotnym novum jest wprowadzenie tzw. mechanizmu samoidentyfikacji przedsiębiorców, czyli samodzielnej analizy czy rozmiar przedsiębiorstwa oraz przedmiot jego działalności powodują, że podlega ono nowym przepisom. Organizacje zidentyfikowane pozytywnie powinny złożyć wniosek o wpis w odpowiednim wykazie, a także wdrożyć mechanizmy zarządzana ryzykiem cyberbezpieczeństwa, obejmujące identyfikację zagrożeń, plany reagowania na incydenty oraz odpowiednie działania zapobiegawcze.
Poznaj program warsztatu "Systemy Sztucznej Inteligencji - prawny teatr działań" >>
Istotną motywacją do sprawnego wdrożenia nowych obowiązków będą zapewne surowe sankcje za brak zgodności. Przedsiębiorstwa mogą zostać ukarane wysokimi grzywnami - kara za niespełnienie wymagań może wynieść nawet do 10 mln euro lub 2% rocznego obrotu. Kara pieniężna w wysokości do 600% wynagrodzenia będzie mogła być także nałożona bezpośrednio na kierownika danego podmiotu.
Rozporządzenie DORA
Rozporządzenie DORA to kolejny akt prawny z obszaru cyberbezpieczeństwa, który rozpoczął swoje stosowanie w 2025 r., a dokładnie 17 stycznia. DORA koncentruje się na sektorze finansowym, wprowadzając konsolidację standardów zarządzania ryzykiem ICT dla instytucji finansowych oraz zewnętrznych dostawców usług technologicznych. Celem regulacji jest zapewnienie ciągłości operacyjnej i odporności na incydenty cyfrowe w całym sektorze finansowym UE. Co istotne, w odróżnieniu od dyrektywy NIS2, rozporządzenie DORA nie wymaga implementacji do porządków prawnych państw członkowskich i od dnia 17 stycznia 2025 roku powinno być stosowane bezpośrednio przez podmioty objęte jego zakresem.
Wyzwania i szanse
Nowe regulacje stawiają przed firmami szereg wyzwań, przede wszystkim organizacyjnych, technologicznych i finansowych. Przedsiębiorcy, którzy nie uwzględnili projektów związanych z podniesieniem poziomu cyberbezpieczeństwa w swoich planach na 2025 rok, powinni czym prędzej odpowiednio zaktualizować swoje budżety i harmonogramy
Dostosowanie procesów i systemów w organizacji będzie wymagało zaangażowania przede wszystkim członków Zarządów, którzy w celu sprawnego wdrożenia nowych obowiązków powinni wyznaczyć interdyscyplinarne zespoły, składające się z ekspertów IT, specjalistów ds. bezpieczeństwa, prawników, specjalistów compliance, przedstawicieli HR, inspektorów ochrony danych, a być może również i zewnętrznych konsultantów i audytorów. Obowiązek samoidentyfikacji jako podmiot kluczowy lub ważny oznacza konieczność przeprowadzenia analizy ryzyka oraz zgłoszenia swojej działalności do organu nadzorującego. Wiele firm będzie musiało przeformułować swoje procedury, zorganizować szkolenia dla pracowników oraz zainwestować w technologie wspierające bezpieczeństwo - automatyzację i monitorowanie systemów IT, wdrażanie odpowiednich usług lub narzędzi wspierających (np. MDR, MSSP, SIEM), testy penetracyjne.
Jednocześnie, inwestycje w cyberbezpieczeństwo otwierają przed przedsiębiorstwami nowe możliwości. Firmy, które skutecznie wdrożą nowe przepisy, mogą pozycjonować się jako liderzy w zakresie bezpieczeństwa, co zwiększy zaufanie klientów i partnerów biznesowych, przyczyniając się tym samym do budowania przewagi konkurencyjnej. Lepsza ochrona przed cyberatakami pozwala na ograniczenie ryzyka przestojów, utraty danych czy reputacji, co może mieć bezpośredni wpływ na wyniki finansowe. Szkolenia z cyberbezpieczeństwa są natomiast elementem budowania kultury bezpieczeństwa cyfrowego i będą wkrótce tak samo oczywiste i powszechne jak kursy BHP. Zwiększenie świadomości pracowników na temat cyberbezpieczeństwa pozwoli zniwelować ryzyko czynnika ludzkiego jako często najsłabszego ogniwa w ochronie przed cyberzagrożeniami.
Ochrona, która się opłaca
Zapewnienie bezpieczeństwa online to już nie tylko kwestia ochrony wrażliwych danych, ale również kluczowy element strategii biznesowej każdej organizacji, świadczący o odpowiedzialności firmy i dbałości o klientów, ponieważ sposób zarządzania cyberbezpieczeństwem bezpośrednio wpływa na renomę firmy, jej postrzeganie w branży i zaufanie konsumentów. W dobie wzrastającej świadomości społecznej na temat zagrożeń cyfrowych konsumenci bardziej zwracają uwagę na to, czy firmy są odpowiednio zabezpieczone przed atakami i unikają tych, które nie zapewniają należytego standardu ochrony. Każdy cyberatak to nie tylko strata finansowa związana z naprawą szkód, ale także utrata zaufania klientów, a odbudowa reputacji staje się wyzwaniem, które może zaważyć na przyszłości firmy. Dlatego, nie tylko z perspektywy bezpieczeństwa firmy, ale również z perspektywy biznesowej, warto wcześniej zainwestować w odpowiednie zabezpieczenia niż później mierzyć się z przykrymi skutkami takiego ataku.
Autor artykułu: Maciej Kubiak, adwokat, partner zarządzający, SKP Ślusarek Kubiak Pieczyk