Autopromocjaspot_img

Data:

UDOSTĘPNIJ

ROK NA WDROŻENIE NIS2. JAKIE FIRMY OBEJMUJE DYREKTYWA? (ROZMOWA)

Powiązane artykuły:

MARCIN DOBROWOLSKI, BIZNES24: Na dostosowanie systemów informatycznych do nowych regulacji bezpieczeństwa sieci przedsiębiorstwa mają nieco ponad rok, a to przez dyrektywę NIS2, o której teraz rozmawiać będę z Pawłem Zegarowem, kierownikiem Zespołu Analiz Strategicznych w NASK. Dzień dobry.

PAWEŁ ZEGAROW, ZESPÓŁ ANALIZ STRATEGICZNYCH W NASK: Dzień dobry panie redaktorze, dzień dobry Państwu.


TO JEST AUTOMATYCZNA TRANSKRYPCJA ROZMOWY PRZEPROWADZONEJ

NA ANTENIE TELEWIZJI BIZNES24


MD: Zanim przejdziemy do szczegółów, to proszę wytłumaczyć samą nazwę. Co to jest NIS2? Co oznacza i czy jest coś takiego jak NIS1?

PZ: Tak, oczywiście, żeby w ogóle rozpocząć dyskusję o tym, czym jest dyrektywa NIS2 musimy pamiętać i wrócić trochę do roku 2016, kiedy to Komisja Europejska opublikowała dyrektywę NIS1. I dyrektywa NIS1 tak naprawdę od samego początku miała taki cel, żeby uporządkować kwestie cyberbezpieczeństwa w Unii Europejskiej i we wszystkich państwach Unii Europejskiej.

Dyrektywa NIS1 była pierwszym tak naprawdę aktem prawnym dotyczącym cyberbezpieczeństwa. Miała ogromne znaczenie dla cyberbezpieczeństwa Unii Europejskiej i każdego państwa członkowskiego, ale po sześciu latach obowiązywania tej dyrektywy okazało się, że ona nie jest wystarczająca tak naprawdę, żeby Unii Europejskiej i państwom członkowskim Unii Europejskiej, które znajdują się teraz w sytuacji kryzysu pocovidowego i za naszą granicą wschodnią toczy się wojna Rosji z Ukrainą – te wszystkie nowe okoliczności sprawiły, że państwa członkowskie Unii Europejskiej i cała Unia Europejska jako struktura musi na nowo zacząć myśleć o cyberbezpieczeństwie, cyberodporności.

I właśnie dyrektywa NIS2 i jej wejście do prawa krajowego każdego państwa członkowskiego Unii Europejskiej ma istotnie zwiększyć odporność każdego państwa w obszarze cyberbezpieczeństwa.

MD: Co zmienia ta dyrektywa dla konkretnych firm, dla przedsiębiorców, którzy będą musieli ją wdrożyć?

PZ: Zmienia bardzo dużo tak naprawdę. Z jednej strony możemy zadać pytanie, czy jest to ewolucja, czy rewolucja w podejściu Unii Europejskiej do cyberbezpieczeństwa. Ja odpowiem na to pytanie, że to zależy.

Bo dla wielu firm, które nie były wcześniej objęte wymogami dyrektywy NIS1 objęcie wypełniania obowiązków wynikających z dyrektywy NIS2 będzie tak naprawdę bardzo dużym wyzwaniem i technologicznym, bo firmy będą musiały być gotowe od strony narzędzi teleinformatycznych do zabezpieczania swoich systemów i od strony kadrowej zasobów ludzkich, bo te firmy będą musiały w trudnych warunkach tak naprawdę braku specjalistów i ekspertów ds. cyberbezpieczeństwa pozyskać jakoś tych pracowników u siebie, wybudować specjalne struktury, które będą w firmie zajmowały się kwestiami cyberbezpieczeństwa lub wynająć taką usługę outsourcingowaną  na rynku.

Oczywiście to wszystko kosztuje niemałe pieniądze, ale zawsze mówiąc o cyberbezpieczeństwie i o ryzyku, które wiąże się z nieprzestrzeganiem tego cyberbezpieczeństwa, musimy traktować te wydatki jako pewnego rodzaju inwestycję.

MD: Wydatków jest mnóstwo, które cały czas rosną. Co się zmienia? Pan zaczął ten temat – proszę go kontynuować. Najważniejsze zmiany dla polskich firm: bo to nas najbardziej interesuje.

ROK NA WDROŻENIE NIS2. JAKIE FIRMY OBEJMUJE DYREKTYWA? (ROZMOWA)
źródło: BIZNES24

PZ: Ważniejsze zmiany są takie, że zmienia się trochę zakres dyrektywy. Ona obejmie znacznie większą ilość podmiotów i znacznie większą ilość sektorów niż obejmowała dyrektywa NIS1. Zamiast operatorów usług kluczowych i dostawców usług cyfrowych pojawia się nowe nazewnictwo. Od momentu wejścia w życie dyrektywy NIS2 będziemy mieli podział na podmioty kluczowe i podmioty ważne.

I zmienia się tak naprawdę większość obowiązków, która była w dyrektywie NIS1 opisana, czyli obowiązek zgłaszania incydentów poważnych do krajowych CSIT-ów.

Przypomnę tylko, że CSIRT-ów już mamy 3: CSIRT MON,   CSIRT GOV i CSIRT NASK, który ja mam przyjemność reprezentować i tam właśnie poszczególne podmioty, które kwalifikują się do danych obszarów strategicznych funkcjonowania państwa, zgłaszają swoje incydenty. Tu nic się w tym nie zmienia. To co się zmienia, to tak naprawdę odpowiedzialność osobowa członków zarządu za nieprzestrzeganie obowiązków wynikających z dyrektywy NIS2 To są też również gigantyczne kary, o których wcześniej pan redaktor powiedział. W jakiej wysokości za tę kary…

MD: …Nawet do 10 milionów złotych z tego, co udało mi się wyczytać. Czy jesteśmy w stanie powiedzieć jednoznacznie od jakiej wielkości firmy te obowiązki będą obowiązywały w danym przedsiębiorstwie?

PZ: Tak, jesteśmy w stanie. Dyrektywa to bardzo jasno precyzuje i są to tak naprawdę dwie grupy firm czy przedsiębiorstw: Średnie przedsiębiorstwa i duże przedsiębiorstwa. Średnie przedsiębiorstwa, czyli przedsiębiorstwa w których zatrudnione jest od 50 osób, których obrót roczny, światowy wynosi 10 milionów euro lub duże przedsiębiorstwa, które zatrudniają od 250 osób, a ich obrót roczny osiąga 50 mln euro globalnego obrotu. Przy czym dyrektywa nie ma zastosowania w zasadzie do mikro i małych przedsiębiorstw.

Ale są tutaj też również wyjątki. Ponieważ jeżeli mikro lub małe przedsiębiorstwa pełnią funkcje wymienione w załączniku pierwszym lub w załączniku drugim do dyrektywy NIS2, a są to firmy, które są monopolistami na rynkach, które świadczą bardzo specyficzne usługi dla obronności państwa czy bardzo istotne usługi z punktu widzenia strategicznego funkcjonowania państwa – to takie podmioty również będą podlegały obowiązkowi wynikającemu z dyrektywy NIS2, mimo że nie spełniają kryterium wielkości ani uzyskiwanych dochodów.

MD: Chociaż tak sobie mówią, to ciężko mi sobie wyobrazić, aby jednoosobowa działalność gospodarcza, jakaś mikrofirma pełniła strategiczną funkcję w systemie obronności państwa. Ale być może takie sytuacje są. No w każdym razie jest furtka po to, aby móc takie włączyć do tego systemu zabezpieczeń. Ile firmy mają czasu aby się przygotować do wdrożenia przepisów?

PZ: Dyrektywa weszła w życie 16 stycznia 2023 roku i od tego czasu państwa członkowskie mają 27 miesięcy na implementację przepisów europejskich do polskiego porządku prawnego. I taką datą końcową jest 17 października 2024 r. Do tego dnia polski rząd musi przedstawić przepisy wprowadzające tę dyrektywę do polskiego porządku prawnego. Bo przypomnę, że dyrektywa jako unijna regulacja musi być w każdym państwie członkowskim wprowadzona osobną ustawą.

Dyrektywa NIS1 została wprowadzona ustawą o krajowym systemie cyberbezpieczeństwa i dyrektywa NIS2 prawdopodobnie zostanie wprowadzona nowelizacją tej ustawy, którąś z kolei lub zupełnie jakąś inną ustawą, która będzie podlegała normalnemu procesowi legislacyjnemu.

MD: Czuję, że będziemy wracać do tego tematu i to niejednokrotnie. Bardzo dziękuję Panu za ten, na razie wstępny komentarz. Paweł Zegarow, Nask był naszym gościem. Dziękuję Panu pięknie.

PZ: Dziękuję.

Inwestujesz? Notowania na żywo, opinie analityków i wszystko, co ważne dla Twojego portfela!

Telewizja dostępna w sieciach kablowych, na platformach satelitarnych, oraz w Internecie.

ROK NA WDROŻENIE NIS2. JAKIE FIRMY OBEJMUJE DYREKTYWA? (ROZMOWA)

Informacje dla tych, dla których pieniądze się liczą- przez cały dzień w telewizji BIZNES24

Tylko 36 groszy dziennie za dostęp przez www i 72 grosze dziennie za dostęp do aplikacji i VOD (przy rocznym abonamencie)

Sprawdź na BIZNES24.TV