5 min. czytania 10 sty 2024
NIS2

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

Autor Patryk Gęborys

EY Poland, Information and Technology Security Team, Partner

Practitioner in the field of IT and OT security. Cyber activist. Squash lover.

5 min. czytania 10 sty 2024

Prezentujemy raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro dotyczący gotowości firm w Polsce na przyjęcie unijnej Dyrektywy NIS2 oraz wyzwań związanych z koniecznością dostosowania się do nowych regulacji. 

Do 18 października 2024 roku szereg organizacji ma czas na dostosowanie się do wymogów unijnej Dyrektywy NIS2, która w zakresie zgodności z przepisami o cyberbezpieczeństwie - zastąpi dotychczas obowiązującą Dyrektywę NIS w sprawie działań na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej.

Kogo dotyczy Dyrektywa NIS2?

Nowa dyrektywa rozszerza zakres podmiotów, które jej podlegają. Podmioty kluczowe to takie które spełniają jednocześnie dwa kryteria:

  1. Prowadzą działalność w jednym z 10 sektorów gospodarki (energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczna)
  2. Znajdują się w grupie średnich lub dużych przedsiębiorstw (zatrudnienie powyżej 50 pracowników, roczny obrót i/lub roczna suma bilansowa przekraczająca 10 mln EUR)

Ponadto Dyrektywa NIS2 obejmie również mikroprzedsiębiorstwa i małe przedsiębiorstwa. Warunkiem będzie spełnienie kryteriów wskazujących na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów, bądź typów usług. Zaliczą się do nich np.: kwalifikowani dostawcy usług zaufania, dostawcy usług DNS, rejestry nazw domen najwyższego poziomu.

Zgodnie z nową dyrektywą zostanie wprowadzona nowa kategoria podmiotów ważnych, czyli takich które nie spełniają rygorystycznych kryteriów podmiotów kluczowych, jednak ich działalność ma znaczenie dla sprawnego funkcjonowania gospodarki, w tym: podmioty średnie, działające we wskazanych sektorach kluczowych, podmioty średnie lub duże działające w sektorach ważnych określonych w Załączniku II do NIS2, usługi pocztowe oraz kurierskie, gospodarka odpadami, produkcja, przetwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja przemysłowa, podmioty prowadzące badania naukowe.

Zapraszamy do zapoznania się z wynikami badania i płynącymi z nich wnioskami. Z raportu: W oczekiwaniu na NIS2: stan przygotowań, dowiesz się m.in.:

  • Jaki jest stopień świadomości organizacji dotyczący dyrektywy NIS2?
  • Czy i jak firmy przygotowują się do zmian?
  • Jakie są największe wyzwania dla organizacji związane z dostosowaniem się do wymogów dyrektywy NIS2?

 

Z badania wynika, że 25% podmiotów w Polsce objętych nowymi przepisami nie jest świadomych konieczności podjęcia jakichkolwiek działań dotyczących dostosowania się do nowych regulacji. Do terminu, w którym firmy są zobowiązane dostosować się do nowych wymogów pozostaje coraz mniej czasu. Zapraszamy do zapoznania się z wynikami badania oraz rekomendacjami najważniejszych kroków, które należy podjąć, aby zacząć prace nad dostosowaniem organizacji do nowych przepisów.

 

Pobierz raport

 

Co jest istotne?

Poza objęciem obowiązkiem zapewnienia zgodności z przepisami o cyberbezpieczeństwie szerszej grupy podmiotów, Dyrektywa NIS2 daje możliwość nałożenia kar na te z nich, które nie spełnią nowych wytycznych. Ich wysokość sięga 10 mln EUR lub 2% całkowitego rocznego światowego obrotu dla podmiotów kluczowych. Dla podmiotów ważnych - do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku.

 

Organizacje jak najszybciej powinny oszacować skalę zmian i dostosowań, z jakimi będą musiały się zmierzyć. Może to być szczególnym wyzwaniem dla grup kapitałowych lub przedsiębiorstw wielooddziałowych o różnym poziomie zaawansowania w obszarze cyberbezpieczeństwa. Aby nie wynajdywać koła na nowo, warto przeanalizować już istniejącą architekturę bezpieczeństwa oraz zakupione narzędzia. Z ich pomocą można opracować nowe procesy, które spełnią unijne wymagania. Na zakończenie tych działań firmy mają już mało czasu, więc przedsiębiorcy powinni już teraz zacząć namierzać, jakiego rodzaju braki występują w ich podmiotach i jakimi technicznymi lub organizacyjnymi środkami najefektywniej będą mogli je naprawić.
Patryk Gęborys
EY Poland, Information and Technology Security Team, Partner

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

Pobierz

 
O badaniu

Badanie zostało przeprowadzone w IV kwartale 2023 r. na próbie 60 CISO i menedżerów ds. bezpieczeństwa z największych przedsiębiorstw działających w Polsce, reprezentujących różne sektory w tym m.in.: IT/telekomunikacja, finanse/bankowość, handel/e-commerce oraz przemysł. Respondenci odpowiadali na pytania w formie ankiety online.

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Podsumowanie

Prezentujemy raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro: W oczekiwaniu na NIS2: stan przygotowań, dotyczący gotowości firm w Polsce na przyjęcie unijnej Dyrektywy NIS2 oraz wyzwań związanych z koniecznością dostosowania się do nowych regulacji. W raporcie znajdują się m.in. odpowiedzi na pytania:

  • Jaki jest stopień świadomości organizacji dotyczący dyrektywy NIS2?
  • Czy i jak firmy przygotowują się do zmian?
  • Jakie są największe wyzwania dla organizacji związane z dostosowaniem się do wymogów dyrektywy NIS2?

oraz komentarze ekspertów, a także rekomendacje najważniejszych kroków, które należy podjąć, aby zacząć prace nad dostosowaniem organizacji do nowych przepisów.

Nie czekaj, pobierz raport już dziś!

Kontakt

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami.

Informacje

Autor Patryk Gęborys

EY Poland, Information and Technology Security Team, Partner

Practitioner in the field of IT and OT security. Cyber activist. Squash lover.

  • Facebook
  • LinkedIn
  • X (formerly Twitter)