Czasu na dostosowanie firm do regulacji NIS2 i DORA pozostaje coraz mniej

W 2024 roku organizacje czeka dostosowanie do szeregu istotnych unijnych regulacji, m.in. NIS2 i DORA związanych z cyberbezpieczeństwem. Krajowe instytucje i przedsiębiorstwa w obliczu nowych dyrektyw czekają na konkretne decyzje. Każda ze zmian niesie ze sobą specyficzne wymagania i konsekwencje dla firm.

Z NIS do NIS2

Dyrektywa NIS2 dotycząca bezpieczeństwa sieci i systemów informatycznych wymaga wdrożenia odpowiednich środków ochrony oraz zgłaszania wszelkich naruszeń bezpieczeństwa przez firmy i organizacje z najbardziej narażonych na cyberataki branż. Zmiany adresują m.in. sektor energetyki, opieki zdrowotnej, IT, bankowości i finansów, transportu, gospodarowania ściekami, usług pocztowych i kurierskich czy produkcji, przetwarzania i dystrybucji żywności. Przyjęta na początku 2023 roku dyrektywa NIS2 nakłada na kraje unijne obowiązek dostosowania prawa do jej wymogów do 17 października 2024.

Może się wydawać, że czasu zostało sporo, jednak z uwagi na duży zakres zmian wprowadzanych przez NIS2, harmonogram jest napięty. O zgodność z szeregiem nowych wymogów musi zadbać również więcej firm, gdyż dyrektywa w stosunku do obecnie obowiązujących przepisów, obejmuje dodatkowe branże. Firmy i instytucje powinny jak najszybciej poznać nowe obowiązki w zakresie bezpieczeństwa IT, zaudytować swoje procesy i wdrożyć brakujące zabezpieczenia – tłumaczy Sebastian Toczewski, IT Security Manager w Beyond.pl, dostawcy usług data center, chmury i Managed Services. – Zakres prac w ramach dostosowania się do wymagań NIS2 będzie uzależniony od stopnia dojrzałości organizacji w obszarze cyberbezpieczeństwa. Szczególną uwagę muszą zwrócić firmy z wskazanych w dyrektywie branż, które zatrudniają więcej niż 250 pracowników lub ich roczne obroty przekraczają 50 mln EUR. Są jednak  sektory, w których  nowe wymagania obowiązują niezależnie od wielkości firmy. W najgorszej sytuacji mogą znaleźć się firmy z sektorów, które wcześniej nie podlegały regulacjom i nie zatrudniają specjalistów ds. cyberbezpieczeństwa lub nie posiadają rozbudowanych kompetencji IT.

DORA – branża finansowa jeszcze bezpieczniejsza

DORA to unijne Rozporządzenie o Operacyjnej Odporności Cyfrowej, które zaostrza wymogi w zakresie bezpieczeństwa IT wobec podmiotów działających na rynkach finansowych, w tym banków, firm ubezpieczeniowych, fin-techów czy dostawców usług ICT z UE obsługujących tę branżę.  Dyrektywa ma wyeliminować niespójności, zapobiec powielaniu wymogów w różnych aktach prawnych oraz zagwarantować konsumentom końcowym dostęp do usług i produktów, nawet w przypadku nieprzewidzianych zdarzeń. Krajowe organizacje, których dotyczy DORA muszą dostosować się do nowej regulacji do 17 stycznia 2025 roku. Jego wdrożenie w Polsce będzie nadzorować Komisja Nadzoru Finansowego (KNF).

 Instytucje finansowe są zasadniczo bardzo dojrzałe w kwestii cyfrowego bezpieczeństwa z uwagi na obowiązujące już w Polsce regulacje. Jednak DORA to nowe podejście do ryzyk związanych ze stosowaniem nowoczesnych technologii, obowiązki związane z dokumentacją procedur, czy regularnego testowania usług odpowiadających za ciągłość biznesową – tłumaczy Sebastian Toczewski z Beyond.pl i dodaje: – Z drugiej strony możemy założyć, że DORA wymusi profesjonalizację dostawców usług IT obsługujących podmioty finansowe, wzmocni znaczenie partnerów technologicznych z certyfikacjami oraz wygeneruje popyt na usługi zwiększające ciągłość działania jak np. backup oraz usługi Disaster Recovery. 

Wymagania dla sektora finansowego mają być rewolucyjną zmianą, porównywaną do wprowadzonego kilka lat temu RODO. Tym bardziej istotne jest, aby podmioty objęte regulacjami DORA już rozpoczęły przygotowanie do nowych standardów i dostosowywały swoje procesy oraz systemy. W ten sposób nie tylko unikną wysokich sankcji, ale zwiększą swoją konkurencyjność i zaufanie klientów.

Brak konkretnych decyzji administracyjnych i edukacji wszystkich zainteresowanych sektorów na temat podejmowanych zmian sprawia, że zarządzający organizacjami wstrzymują się z podejmowaniem konkretnych decyzji i mogą mieć problemy z planowaniem budżetów koniecznych na dostosowanie się do nowych wymogów. Dostosowanie wewnętrznych procedur do regulacji NIS2 i DORA oznacza dla niektórych firm i instytucji znaczące reformy oraz spore koszty, które biznes wolałby rozsądnie zaplanować. Pozostaje mieć nadzieję, że zmiany na szczycie przebiegną sprawnie, a organizacje wkrótce otrzymają jasne wytyczne, od których zależeć będą ich pierwsze decyzje w 2024 roku.