Dyrektywa NIS2, która wejdzie w życie na początku 2025 r., nakłada obowiązki na dostawców usług w sektorach takich jak produkcja, energetyka czy przemysł spożywczy. Firmy muszą zarządzać ryzykiem cybernetycznym i raportować incydenty do krajowych CERT-ów.
- Przepisy dokładnie precyzują terminy zgłaszania incydentów, a ich niedotrzymanie może skutkować bardzo dotkliwymi karami - ostrzega w rozmowie z serwisem wnp.pl Artur Barankiewicz, dyrektor ds. rozwoju biznesu związanego z bezpieczeństwem B2B Europe w Deutsche Telekom.
Nowe przepisy, jak podkreśla, nie ograniczają odpowiedzialności do działów IT. Członkowie zarządu, w tym prezesi, również będą odpowiadać za zaniedbania.
Dalsza część artykułu pod materiałem wideo
Milionowe straty po cyberataku
Ekspert zaznacza, że w Polsce proces legislacyjny wdrażający dyrektywę się opóźnia, to firmy muszą już teraz dostosować się do unijnych wymagań, chociaż karać od 1 stycznia nie będzie można.
- Konieczne są krajowe akty wykonawcze, które umożliwią skuteczne egzekwowanie kar. Bez nich obecny system prawny nie daje możliwości wdrożenia sankcji w praktyce. Niemniej jednak musimy mieć na uwadze, że gdy dostarczamy usługi do innych krajów UE, spełnienie wymogów NIS2 może być jednym z wymagań naszych kontrahentów. Niezależnie czy w Polsce prawo już obowiązuje, czy nie zostało jeszcze wdrożone do systemu prawnego - stwierdza Barankiewicz.
Ekspert dodaje, że średni koszt cyberataku w USA wynosi 9 milionów dolarów, a w Europie około 4 milionów dolarów.
