5 min. czytania 10 sty 2024

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

5 min. czytania 10 sty 2024

Polub

Pokaż załączniki

Prezentujemy raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro dotyczący gotowości firm w Polsce na przyjęcie unijnej Dyrektywy NIS2 oraz wyzwań związanych z koniecznością dostosowania się do nowych regulacji.

Do 18 października 2024 roku szereg organizacji ma czas na dostosowanie się do wymogów unijnej Dyrektywy NIS2, która w zakresie zgodności z przepisami o cyberbezpieczeństwie - zastąpi dotychczas obowiązującą Dyrektywę NIS w sprawie działań na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej.

Kogo dotyczy Dyrektywa NIS2?

Nowa dyrektywa rozszerza zakres podmiotów, które jej podlegają. Podmioty kluczowe to takie które spełniają jednocześnie dwa kryteria:

Prowadzą działalność w jednym z 10 sektorów gospodarki (energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczna)
Znajdują się w grupie średnich lub dużych przedsiębiorstw (zatrudnienie powyżej 50 pracowników, roczny obrót i/lub roczna suma bilansowa przekraczająca 10 mln EUR)

Ponadto Dyrektywa NIS2 obejmie również mikroprzedsiębiorstwa i małe przedsiębiorstwa. Warunkiem będzie spełnienie kryteriów wskazujących na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów, bądź typów usług. Zaliczą się do nich np.: kwalifikowani dostawcy usług zaufania, dostawcy usług DNS, rejestry nazw domen najwyższego poziomu.

Zgodnie z nową dyrektywą zostanie wprowadzona nowa kategoria podmiotów ważnych, czyli takich które nie spełniają rygorystycznych kryteriów podmiotów kluczowych, jednak ich działalność ma znaczenie dla sprawnego funkcjonowania gospodarki, w tym: podmioty średnie, działające we wskazanych sektorach kluczowych, podmioty średnie lub duże działające w sektorach ważnych określonych w Załączniku II do NIS2, usługi pocztowe oraz kurierskie, gospodarka odpadami, produkcja, przetwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja przemysłowa, podmioty prowadzące badania naukowe.

Zapraszamy do zapoznania się z wynikami badania i płynącymi z nich wnioskami. Z raportu: W oczekiwaniu na NIS2: stan przygotowań, dowiesz się m.in.:

Jaki jest stopień świadomości organizacji dotyczący dyrektywy NIS2?
Czy i jak firmy przygotowują się do zmian?
Jakie są największe wyzwania dla organizacji związane z dostosowaniem się do wymogów dyrektywy NIS2?

Z badania wynika, że 25% podmiotów w Polsce objętych nowymi przepisami nie jest świadomych konieczności podjęcia jakichkolwiek działań dotyczących dostosowania się do nowych regulacji. Do terminu, w którym firmy są zobowiązane dostosować się do nowych wymogów pozostaje coraz mniej czasu. Zapraszamy do zapoznania się z wynikami badania oraz rekomendacjami najważniejszych kroków, które należy podjąć, aby zacząć prace nad dostosowaniem organizacji do nowych przepisów.

Pobierz raport

Co jest istotne?

Poza objęciem obowiązkiem zapewnienia zgodności z przepisami o cyberbezpieczeństwie szerszej grupy podmiotów, Dyrektywa NIS2 daje możliwość nałożenia kar na te z nich, które nie spełnią nowych wytycznych. Ich wysokość sięga 10 mln EUR lub 2% całkowitego rocznego światowego obrotu dla podmiotów kluczowych. Dla podmiotów ważnych - do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku.

Organizacje jak najszybciej powinny oszacować skalę zmian i dostosowań, z jakimi będą musiały się zmierzyć. Może to być szczególnym wyzwaniem dla grup kapitałowych lub przedsiębiorstw wielooddziałowych o różnym poziomie zaawansowania w obszarze cyberbezpieczeństwa. Aby nie wynajdywać koła na nowo, warto przeanalizować już istniejącą architekturę bezpieczeństwa oraz zakupione narzędzia. Z ich pomocą można opracować nowe procesy, które spełnią unijne wymagania. Na zakończenie tych działań firmy mają już mało czasu, więc przedsiębiorcy powinni już teraz zacząć namierzać, jakiego rodzaju braki występują w ich podmiotach i jakimi technicznymi lub organizacyjnymi środkami najefektywniej będą mogli je naprawić.

Patryk Gęborys

EY Poland, Information and Technology Security Team, Partner

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

Pobierz

O badaniu

Badanie zostało przeprowadzone w IV kwartale 2023 r. na próbie 60 CISO i menedżerów ds. bezpieczeństwa z największych przedsiębiorstw działających w Polsce, reprezentujących różne sektory w tym m.in.: IT/telekomunikacja, finanse/bankowość, handel/e-commerce oraz przemysł. Respondenci odpowiadali na pytania w formie ankiety online.

Podsumowanie

Prezentujemy raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro: W oczekiwaniu na NIS2: stan przygotowań, dotyczący gotowości firm w Polsce na przyjęcie unijnej Dyrektywy NIS2 oraz wyzwań związanych z koniecznością dostosowania się do nowych regulacji. W raporcie znajdują się m.in. odpowiedzi na pytania:

Jaki jest stopień świadomości organizacji dotyczący dyrektywy NIS2?
Czy i jak firmy przygotowują się do zmian?
Jakie są największe wyzwania dla organizacji związane z dostosowaniem się do wymogów dyrektywy NIS2?

oraz komentarze ekspertów, a także rekomendacje najważniejszych kroków, które należy podjąć, aby zacząć prace nad dostosowaniem organizacji do nowych przepisów.

Nie czekaj, pobierz raport już dziś!

Kontakt

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami.

LinkedIn Twitter

Informacje

Patryk Gęborys

Autor Patryk Gęborys

EY Poland, Information and Technology Security Team, Partner

Practitioner in the field of IT and OT security. Cyber activist. Squash lover.

Współautorzy

Leszek Mróz,

Kamil Pszczółkowski,

Magdalena Wrzosek

Powiązane tematy Cybersecurity Consulting Doradztwo prawne Raporty i analizy

Polub

Czytaj więcej

Nazwa EY odnosi się do firm członkowskich Ernst & Young Global Limited, z których każda stanowi osobny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z odpowiedzialnością ograniczoną do wysokości gwarancji (company limited by guarantee) nie świadczy usług na rzecz klientów.

EY | Assurance | Consulting | Strategy and Transactions | Tax

O firmie EY

EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, doradztwo biznesowe i doradztwo transakcyjne. Nasza wiedza oraz świadczone przez nas najwyższej jakości usługi przyczyniają się do budowy zaufania na rynkach kapitałowych i w gospodarkach całego świata. W szeregach EY rozwijają się utalentowani liderzy zarządzający zgranymi zespołami, których celem jest spełnianie obietnic składanych przez markę EY. W ten sposób przyczyniamy się do budowy sprawniej funkcjonującego świata. Robimy to dla naszych klientów, społeczności, w których żyjemy i dla nas samych.

Informacje na temat sposobu gromadzenia przez EY i przetwarzania danych osobowych oraz praw przysługujących osobom fizycznym w świetle przepisów o ochronie danych osobowych są dostępne na stronie www.ey.com/pl_pl/legal-and-privacy

Aby uzyskać więcej informacji, wejdź na www.ey.com/pl_pl

Niniejszy materiał został przygotowany wyłącznie w ogólnych celach informacyjnych i nie należy się na nim opierać jako na informacjach księgowych, podatkowych lub innych profesjonalnych poradach. W celu uzyskania szczegółowych informacji należy zwrócić się do swoich doradców.

Tematy

Ogólne

Zespół

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

Leszek Mróz,

Kamil Pszczółkowski,

Magdalena Wrzosek