Najpierw RODO, teraz NIS2 – firmy w obliczu zagrożeń i… kar

Materiał powstał we współpracy z firmą ESET i DAGMA Bezpieczeństwo IT

Już od blisko siedmiu lat obowiązuje w Polsce RODO, czyli rozporządzenie ogólne o ochronie danych, które nakłada na firmy obowiązki związane z przetwarzaniem i ochroną danych osobowych. Proces dostosowania się do tych przepisów wymagał od firm znacznych zmian organizacyjnych, technologicznych i proceduralnych.

Czy ten proces się powiódł? Czy polskie przedsiębiorstwa skutecznie wdrożyły procedury związane z RODO? Z raportu „Cyberportret polskiego biznesu” opracowanego przez ESET i DAGMA Bezpieczeństwo IT wynika, że aż 32 proc. polskich firm nadal nie ma pewności, czy odpowiednio dostosowały się do wymagań wynikających z przepisów RODO wiele lat po ich wejściu w życie.

Im większa firma, tym skuteczniejsze wdrożenie

– Nastawienie wobec przepisów jest zależne od wielkości firmy. W przypadku firm liczących od 51 do 250 pracowników, jak i tych z ponad 250 osobami w kadrze właściwe wdrożenie rozwiązań wynikających z RODO deklaruje 71 proc. badanych – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET. – Ale w segmencie małych przedsiębiorstw odsetek ten spada do blisko połowy – 51 proc. W przypadku mniejszych przedsiębiorstw wdrożenie procedur i rozwiązań wynikających z RODO mogło wiązać się ze stosunkowo dużym jednostkowym kosztem oraz niejasnością we właściwej implementacji przepisów, podczas gdy w większych firmach proces ten został przeprowadzony systemowo – zauważa Sadkowski.

Skuteczna implementacja przepisów dotyczących RODO nie może pozostawać dla przedsiębiorstw abstrakcją. Za nieprawidłowości grożą gigantyczne kary: do 10 lub 20 mln euro oraz do 2 lub 4 proc. całkowitego rocznego obrotu firmy z poprzedniego roku, w zależności od rodzaju wykroczenia.

Kary okazały się nie tylko groźbą. Już pod koniec 2019 r. na Virgin Mobile, popularną sieć telefonii komórkowej, nałożono karę sięgającą niemal 2 mln zł. Pomimo odwołań, ostateczna kara wyniosła aż 1,6 mln zł.

Z kolei suma kar pieniężnych nałożonych przez prezesa Urzędu Ochrony Danych Osobowych w 2024 roku wyniosła około 14 mln zł – wynika z raportu firmy doradczej Grant Thornton. Najwyższa nałożona w zeszłym roku kara pieniężna to ponad 4 mln zł, stanowiła ponad 29 proc. wartości wszystkich kar.

– Regulacje prawne to istotny aspekt cyberbezpieczeństwa w Polsce i Europie. Przepisy wspierające ochronę danych i reakcje na cyberataki potrafią być trudne do implementacji, ale stanowią systemowy fundament. O trudnościach we wdrożeniu regulacji przez firmy świadczą nałożone kary. Okazuje się również, że 80 proc. przypadków nakładanych kar dotyczy podmiotów prywatnych, a 20 proc. administracji publicznej i państwowej – mówi Kamil Sadkowski z ESET.

Skuteczna ochrona danych osobowych w firmach to nie tylko spełnianie norm prawnych, ale również infrastruktura IT odporna na cyberataki – główną przyczynę wycieku danych. Statystyki są przerażające. Z raportu „Cyberportret polskiego biznesu” wynika, że aż 72 proc. pracowników polskich firm doświadczyło incydentów związanych z cyberbezpieczeństwem na służbowym sprzęcie. 47 proc. z nich otrzymało maile z niebezpiecznego źródła. Z kolei aż 88 proc. firm przyznaje, że stało się ofiarą cyberataku lub wycieku danych w ciągu ostatnich pięciu lat. Wśród najpopularniejszych metod wykorzystywanych przez przestępców są ataki phishingowe (próba wyłudzenia danych) lub ransomware (zablokowanie komputerów do momentu zapłacenia okupu). W obu przypadkach mamy do czynienia z realną groźbą nie tylko wysokich kar i strat finansowych – ale też uniemożliwienia funkcjonowania przedsiębiorstwa przez dłuższy czas, co może spowodować kolejne negatywne skutki, często trudne do przewidzenia w swojej skali.

Cyberbezpieczeństwo: nowe obowiązki i kary

To nie koniec wyzwań, jakie stoją przed polskimi firmami w zakresie cyberbezpieczeństwa. Polska jest w trakcie wdrażania unijnej dyrektywy NIS2 oraz uchwalania nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. NIS2 rozszerza wymagania dotyczące cyberbezpieczeństwa w wielu firmach, w tym związane z odpowiednimi środkami technicznymi czy zgłaszaniem incydentów bezpieczeństwa. Przepisy obejmą m.in. operatorów usług kluczowych (m.in. energetyka, transport, bankowość, infrastruktura rynków finansowych, zdrowie, wodociągi), sklepy online i wiele innych firm działających w sektorze usług cyfrowych.

– Regulacja NIS (poprzedniczka NIS2) spowodowała liczne inwestycje w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród trzech obszarów, które uważamy za kluczowe w tym kontekście, należy wymienić: właściwe zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty cyberbezpieczeństwa – komentuje Kamil Sadkowski.

Wspomniane kary za naruszenie przepisów NIS2 robią wrażenie. Mogą sięgać nawet do 10 mln euro lub 2 proc. łącznego obrotu. Przedsiębiorstwa nie mają więc wyjścia – muszą zadbać o procedury i zainwestować w odporną infrastrukturę IT. Warto pamiętać, że ostatecznie to UKSC (obecnie mamy piątą wersję projektu ustawy) będzie wykładnią do stosowania przepisów.

Materiał powstał we współpracy z firmą ESET i DAGMA Bezpieczeństwo IT