NIS2, czyli dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, której celem jest wzmocnienie cyberbezpieczeństwa w UE, weszła w życie 16 stycznia 2023 r., a 18 października 2024 r. mija termin jej transpozycji do krajowego porządku prawnego.
Podczas konferencji KIKE w Jachrance pod Warszawą odbył się panel dyskusyjny „Niebezpieczne cyberbezpieczeństwo, czyli co się dzieje, gdy ustawodawca zapomina o wpływie regulacji na gospodarkę”, w którym udział wzięli: Maciej Rogalski, przedstawiciel Kancelarii Rogalski i Wspólnicy, Piotr Podgórski, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl, Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MDS, audytor wiodący ISO 27001 w informatics, oraz Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej. Jak zauważyli dyskutanci, projekt ustawy z 23 kwietnia br., którego zadaniem jest wdrożenie dyrektywy NIS2, budzi sporo niepokoju wśród przedsiębiorstw, bo nowe przepisy dotkną ich w wielu aspektach. Krajowe nadregulacje, znacznie poszerzające obowiązki względem dyrektywy, wymagają uważnego i ponownego przemyślenia oraz konieczności konsultacji społecznych, gdyż w obecnym kształcie mogą prowadzić do negatywnych skutków gospodarczych, w tym utraty konkurencyjności i bankructwa wielu krajowych podmiotów objętych dyrektywą.
NIS2 jest adresowana do podmiotów określanych jako kluczowe i ważne. W przeciwieństwie do kilkuset firm, do których obecnie stosuje się ustawę o krajowym systemie cyberbezpieczeństwa, polski projekt transpondujący NIS2 nakłada obowiązki na ponad 38 tys. podmiotów z 18 sektorów, m.in. administracji publicznej, ochrony zdrowia, bankowości czy zwiazanych z żywnością. To więcej niż w Niemczech, gdzie jest ich 35 tys., czy we Francji (15 tys.).
Środki, jakie podmioty telekomunikacyjne będą musiały wyłożyć na wdrożenia obowiązków wynikających z ustawy, są ogromne i wiele z nich może tego nie udźwignąć. Największe firmy nie mają problemu, bo już dawno wdrożyły normę ISO 26001, której przyjęcie jest równoznaczne ze spełnieniem wymagań ustawy. Jednak pozostałe będą musiały zacząć dostosowania od zerowego audytu. Dzień pracy audytora wyceniany jest na ok. 1 tys. zł. Konieczność zmiany kultury organizacji w związku z systemem zarządzania bezpieczeństwem informacji to kolejne godziny szkoleń i pracy trenerów wyspecjalizowanych w konkretnych regulacjach, za które trzeba zapłacić.
Do tego dochodzą koszty zatrudnienia personelu o odpowiednich kompetencjach, zakupienia sprzętu oraz oprogramowania monitorującego systemy 24 godziny na dobę, na które trzeba wykupić drogie licencje. Jeśli dostawca, z którego usług korzystają podmioty, zostanie uznany za dostawcę wysokiego ryzyka, wygeneruje to kolejne nakłady na konieczną wymianę sprzętu czy oprogramowania ICT. Projektodawca niestety w żaden sposób nie estymuje kosztów związanych z procesem dostosowawczym, jedyne konkretne dane dotyczą kar. Zatem w sytuacji, gdy ceny idą w górę, a budżety są mocno okrojone, tak wysokie koszty dostosowań mogą się stać zabójcze dla firm z sektora MŚP.
