Nie bój się NIS2: Cyberbezpieczeństwo jako element strategii rozwoju

Materiał informacyjny CYBERSEC EXPO & FORUM

21 maja 2025, 11:32

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej, szerzej znana jako NIS2, to kluczowy akt prawny, który wpłynie na funkcjonowanie wielu organizacji. Jest to aktualizacja obowiązującej od 2016 roku dyrektywy NIS (wdrożone w Polsce w 2018 r. poprzez Ustawę o Krajowym Systemie Cyberbezpieczeństwa). Obecnie proces transpozycji NIS2 do polskiego porządku prawnego znajduje się na końcowym etapie, a nowelizacja ustawy ma wejść najpóźniej w życie już jesienią tego roku.

Kogo dotyczy dyrektywa?

Choć NIS2 obejmuje przede wszystkim sektory kluczowe i istotne z punktu widzenia gospodarki i bezpieczeństwa Polski, jej wytyczne warto potraktować jako uniwersalny drogowskaz dla każdej organizacji dążącej do zwiększenia swojej cyberodporności.

Co należy wdrożyć?

Firmy należące do sektorów kluczowych i ważnych mają obowiązek samorejestracji. Dlatego w pierwszej kolejności warto zweryfikować, czy nasza organizacja spełnia kryteria operatora usługi kluczowej lub ważnej (m.in. wielkość przedsiębiorstwa i sektor w którym działamy). Następnie należy skupić się na wdrożeniu wymaganych środków technicznych i organizacyjnych, takich jak:

● polityka szacowania i zarządzania ryzykiem,

● procedury obsługi incydentu i zapewnienia ciągłości działania,

● bezpieczeństwo łańcucha dostaw,

● praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,

● polityki i procedury dotyczące kryptografii i szyfrowania,

● zarządzanie zasobami ludzkimi, kontrola dostępu i zarządzanie aktywami,

● w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego.

Dodatkowo organizacje objęte dyrektywą będą zobowiązane do przeprowadzania audytów cyberbezpieczeństwa co najmniej raz na trzy lata. Warto jednak podkreślić, że powyższa lista nie jest zamknięta – każda firma powinna dostosować swoje polityki i procedury do specyfiki prowadzonej działalności oraz realnych zagrożeń.

Cyberbezpieczeństwo jako inwestycja, a nie koszt

Wejście w życie znowelizowanej ustawy to doskonała okazja do dokonania przeglądu systemów cyberbezpieczeństwa w organizacji – zasobów, ryzyk, umiejętności i poziomu wiedzy. Cyberodporność przynosi szereg korzyści:

● minimalizuje ryzyko potencjalnych kar związanych z regulacjami lub wyciekami danych,

● zmniejsza prawdopodobieństwo udanego ataku oraz koszty jego skutków,

● wzmacnia zaufanie klientów i partnerów biznesowych,

● stanowi przewagę konkurencyjną.

Przedsiębiorcy powinni zadać sobie nie pytanie: „Czy stać mnie na rozwiązania z zakresu cyberbezpieczeństwa?”, lecz „Czy stać mnie na obsługę incydentu, odbudowę działalności, zarządzanie kryzysem wizerunkowym i zapłacenie kar?”.

Na szczęście, przedsiębiorcy nie pozostają sami z tym wyzwaniem. O trudnościach związanych z wdrażaniem regulacji, trendach i nowoczesnych technologiach będą dyskutować eksperci podczas największych targów cyberbezpieczeństwa w Polsce – CYBERSEC EXPO & FORUM, które odbędą się 11–12 czerwca w Krakowie.