Problemy polskich firm z wdrożeniem NIS2

Choć Polska wciąż nie ma ustawy wdrażającej NIS 2, dyrektywa już obowiązuje. Firmy muszą samodzielnie ocenić ryzyka i przygotować się na nowe wymogi – inaczej grożą im kary i paraliż wdrożeniowy.

Dyrektywa NIS 2 ma na celu podniesienie poziomu cyberbezpieczeństwa w Unii Europejskiej poprzez wprowadzenie bardziej rygorystycznych wymagań wobec przedsiębiorstw. Choć akt ten jest ważnym i potrzebnym krokiem w stronę zwiększenia odporności infrastruktury cyfrowej, to dla wielu polskich firm jego implementacja stanowi poważne wyzwanie. NIS 2, podobnie jak wiele innych unijnych regulacji, opiera się bowiem na podejściu opartym na ryzyku. Oznacza to, że każda organizacja objęta dyrektywą musi samodzielnie ocenić ryzyko wystąpienia incydentu cyberbezpieczeństwa i wdrożyć odpowiednie, proporcjonalne do niego środki organizacyjne, techniczne i operacyjne.

Paulina Piątek-Gabryś, radczyni prawna, dyrektorka działu prawnego i compliance home.pl
FOT. materiał prasowy

Brak ustawy nie zwalnia z obowiązków

Termin implementacji przepisów dyrektywy do krajowego porządku prawnego upłynął 17 października 2024 r., a polska ustawa zmieniająca ustawę o krajowym systemie cyberbezpieczeństwa (UKSC) nadal znajduje się w fazie projektu. Brak polskiej ustawy oznacza między innymi brak pewności, które organizacje zostaną zakwalifikowane jako „podmioty kluczowe” lub „podmioty ważne” z punktu widzenia krajowego systemu cyberbezpieczeństwa, a także jakie sankcje będą mogły zostać nałożone w przypadku nieprzestrzegania przepisów. Stanowi to problem szczególnie istotny dla kadry zarządzającej, ponieważ NIS 2 kładzie silny nacisk na odpowiedzialność członków zarządów – to oni są bezpośrednio odpowiedzialni za wdrożenie właściwych mechanizmów bezpieczeństwa.

NIS 2 obejmie ponad 10 tys. firm

Zgodnie z szacunkami Ministerstwa Cyfryzacji, nowelizacja UKSC dotyczyć będzie ponad 10.000 podmiotów w Polsce, w porównaniu do około 400 podmiotów, które podlegają UKSC w aktualnym brzmieniu. Co istotne, obecnie „operatorzy usług kluczowych” są wyznaczani na podstawie decyzji administracyjnej, a nowelizacja przewiduje, że status „podmiotu kluczowego” i „podmiotu ważnego” nabywany będzie z mocy prawa. Oznacza to, że w praktyce konieczna może okazać się samoidentyfikacja, czyli samodzielne rejestrowanie się podmiotów w nowym systemie. Obowiązek ustalenia, czy dana organizacja kwalifikuje się jako podmiot podlegający nowym regulacjom, spoczywać będzie zatem na kadrze zarządzającej.

Konieczna spójna strategia i ścisła współpraca wewnętrzna

Cyberbezpieczeństwo nadal jest powszechnie traktowane jako temat czysto techniczny, zarezerwowany dla działów IT. Wielu organizacjom brakuje spójnej strategii cyberbezpieczeństwa, która byłaby zintegrowana z ogólną strategią biznesową. Wdrożenie wymogów NIS 2 wymagać będzie nie tylko wprowadzenia rozwiązań technicznych, ale przede wszystkim przedefiniowania podejścia do ryzyka i wdrożenia zarządzania organizacją w sposób zapewniający cyberodporność w każdym aspekcie. NIS 2 wymaga bowiem uwzględnienia cyberzagrożeń już na etapie podejmowania decyzji strategicznych, planowania inwestycji, a także w całym łańcuchu dostaw. Oznacza to konieczność przeprowadzenia analizy ryzyka nie tylko wewnątrz organizacji, ale również w odniesieniu do kluczowych partnerów biznesowych. Z punktu widzenia operacyjnego, dla wielu firm, dotychczas nieobjętych przepisami UKSC, będzie to stanowić znaczny wzrost wymagań.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Weź udział w warsztatach „NIS2 & DORA w praktyce prawnej”, 9 października 2025 r., Warszawa>>

Koszty wdrożenia uderzą w budżety 2025

Te organizacje, które do tej pory nie posiadały rozbudowanych mechanizmów związanych z zapewnieniem cyberbezpieczeństwa, muszą przygotować się na poniesienie dodatkowych kosztów. Wdrażanie od podstaw systemów zarządzania bezpieczeństwem informacji czy systemów zarządzania incydentami może wymagać znacznych nakładów finansowych. Problemem może okazać się nieuwzględnienie tych wydatków w budżetach na 2025 rok. Bez odpowiedniego planowania finansowego dostosowanie się do nowych obowiązków może być nie tylko opóźnione, ale również realizowane doraźnie, bez trwałych efektów.

Co zrobić już dziś, by uniknąć kar

Mimo niejasności legislacyjnych i licznych wyzwań, nie warto czekać na ostateczny kształt ustawy. Dyrektywa NIS 2 już obowiązuje na poziomie unijnym i nieprzygotowanie się do jej wymagań może skutkować dotkliwymi karami finansowymi. Dlatego zaleca się, aby zarządy już teraz wyznaczyły osoby odpowiedzialne za wdrożenie NIS 2 (najlepiej w strukturze compliance lub risk management) oraz zainicjowały prace nad właściwymi rozwiązaniami technicznymi, organizacyjnymi i operacyjnymi. Ważne jest także rozpoczęcie dialogu z partnerami i dostawcami technologicznymi w celu oceny ich przygotowania na nowe regulacje.

Cyberbezpieczeństwo to konieczność

NIS 2 to nie tylko akt prawny, ale przede wszystkim impuls do zmiany podejścia do bezpieczeństwa informacji w organizacjach. Dla wielu firm będzie to trudny i kosztowny proces, jednak zaniechanie działań może prowadzić do poważnych konsekwencji - zarówno prawnych, jak i wizerunkowych. Kadra zarządzająca musi zrozumieć, że cyberbezpieczeństwo to dziś nie opcja, lecz konieczność, a odpowiedzialność nie spoczywa wyłącznie na IT, lecz na całej strukturze organizacyjnej firmy.

Autorka:

Paulina Piątek-Gabryś, radczyni prawna, dyrektorka działu prawnego i compliance home.pl

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

20

lat doświadczenia w organizacji wydarzeń dla biznesu

Doświadczenie

Konferencje, warsztaty i szkolenia dla biznesu organizujemy od 2004 roku. Najbardziej aktualne tematy dla przedstawicieli wielu branż oraz uznana marka na rynku sprawiają, że jesteśmy czołowym organizatorem wydarzeń skierowanych do specjalistów, menedżerów i przedstawicieli wyższej kadry zarządzającej, którzy stawiają na rozwój i nieustanne podnoszenie kwalifikacji.

1546

firm zaufało nam w 2023 roku

Profesjonalizm i nowoczesne kategorie szkoleń

Nasze konferencje, warsztaty oraz szkolenia biznesowe prowadzą najlepsi mówcy - trenerzy i praktycy będący uznanymi ekspertami w swoich dziedzinach i mający na swoim koncie znaczące osiągnięcia. Pomożemy Ci w wielu dziedzinach - zarządzaniu zespołem, budowaniu marki osobistej, udoskonalaniu obsługi klienta, poznaniu nowych trendów rynkowych, nadchodzących zmian legislacyjnych itp. Nie ma lepszej inwestycji niż inwestycja w siebie.

3396

uczestników wydarzeń w 2023 roku

Tysiące zadowolonych klientów

Efektywne prowadzenie firmy nie jest możliwe bez ciągłego rozwoju, zdobywania wiedzy i umiejętności korzystania z odpowiednich narzędzi. Wiedzą o tym tysiące przedsiębiorców, menedżerów i specjalistów, którzy co roku uczestniczą w naszych wydarzeniach, szukając nie tylko wiedzy i inspiracji, ale również doskonałej okazji do nawiązania cennych kontaktów. Udział w wydarzeniach PB to doskonałe forum wymiany doświadczeń i networkingu.