Nowy projekt NIS2 – przedsiębiorcy mają mniej czasu na wdrożenie dyrektywy

Nowe obowiązki dla firm

Nowa wersja projektu uwzględnia poprawki przyjęte na posiedzeniu Stałego Komitetu RM z 31 lipca. Zaostrza dotychczasowe ramy sprawozdawczości i system kar oraz staje się wyzwaniem dla organizacji, które do tej pory nie podlegały regulacjom UKSC — muszą one dogłębnie przeanalizować swoją działalność pod kątem nowych kryteriów kwalifikacyjnych.

Na wszystkie podmioty objęte ustawą KSC nałożono nowe obowiązki, w tym:

• Wdrożenie kompleksowego systemu zarządzania ryzykiem: z uwzględnieniem zagrożeń cyfrowych, fizycznych, ludzkich i środowiskowych.
• Stosowanie wieloetapowego raportowania: wczesne ostrzeżenie w ciągu 24 godzin i szczegółowy raport w ciągu 72 godzin.
• Wprowadzenie mechanizmów oceny ryzyka w łańcuchu dostaw: firmy muszą weryfikować dostawców pod kątem bezpieczeństwa, co wykracza poza standardowe analizy techniczne.

W projekcie szczególny nacisk położono na obowiązki związane z raportowaniem incydentów. Założono obowiązki audytowe w m.in. 3-letnim cyklu audytu zgodności oraz wieloetapowy proces raportowania, uwzględniający wczesne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu oraz szczegółowy raport w ciągu 72 godzin. Podmioty kluczowe będą musiały zgłaszać incydenty do właściwego CSIRT szybciej, co wymaga sprawnych narzędzi do monitorowania, a także dobrych procedur reagowania i komunikacji kryzysowej.

Czas na przygotowanie do NIS2 się kończy

Najważniejszym przesłaniem — z punktu widzenia polskich przedsiębiorców — jest skrócenie czasu z 12 do 6 miesięcy na dostosowanie się do wymogów NIS2. Jak wskazują eksperci, wdrożenie NIS już na wcześniejszych etapach było poważnym wyzwaniem. Firmy muszą samodzielnie oceniać ryzyko i wdrażać odpowiednie do niego środki organizacyjne, techniczne i operacyjne. Ponadto NIS2 wymaga uwzględnienia cyberzagrożeń już na etapie podejmowania decyzji strategicznych, planowania inwestycji, a także w całym łańcuchu dostaw. To z kolei wiąże się z koniecznością przeprowadzenia analizy ryzyka również u kluczowych partnerów biznesowych.

– Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa trwają od dłuższego czasu, a kolejne wersje projektów pojawiają się regularnie. Firmy nie powinny jednak czekać na ostateczną wersję ustawy. Podstawowe zasady i wymogi dyrektywy NIS 2, takie jak konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych, czy obowiązek zgłaszania incydentów, pozostają niezmienne. A czas na przygotowanie do NIS 2 się kończy. Brak odpowiednich przygotowań może narazić przedsiębiorstwa na surowe kary. W PBSG śledzimy na bieżąco rozwój sytuacji prawnej, aby nasi klienci byli zawsze gotowi na nadchodzące zmiany i mogli dostosować się do ostatecznego brzmienia przepisów, gdy tylko zostaną one uchwalone – zaznacza Jacek Knopik, ekspert PBSG.

Nie czekaj i skorzystaj z pomocy PBSG

Dyrektywa NIS2 nakłada na firmy surowe obowiązki, a skrócenie czasu (zarówno na wdrożenie dyrektywy, jak i na raportowanie) sprawia, że firmy stoją przed sporym wyzwaniem organizacyjnym i technicznym. Dlatego już dziś skorzystaj z pomocy doświadczonych ekspertów z PBSG.

Oferujemy kompleksowe wsparcie na kilku poziomach: od doradztwa i analizy, przez wdrażanie konkretnych rozwiązań, po szkolenia i wsparcie. Określimy, czy Twoja organizacja jest podmiotem kluczowym, czy ważnym; zdefiniujemy konkretne obowiązki wynikające z dyrektywy oraz pomożemy w ich wdrożeniu. Zapewnimy również stałe wsparcie — od wdrożenia, przez regularne audyty bezpieczeństwa, zarządzanie incydentami oraz bieżącą pomoc ekspercką i techniczną.

Sprawdź ofertę i zobacz, jak możemy Ci pomóc: Wdrożenie dyrektywy NIS2