W maju 2016 r., wyzwaniem spędzającym sen z powiek praktycznie każdego przedsiębiorcy, było Rozporządzenie UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - popularnie zwane jako ochrona danych osobowych - RODO.
Nie inaczej będzie wg mnie w 2024 r., a dokładnie od 18 października br., z uwagi na Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (ang. Network and Information Systems Directive 2 dalej: „NIS2”), która weszła w życie w 2023 r.
Państwa członkowskie UE (a więc i Polska) są zobowiązane do implementacji postanowień ww. dyrektywy NIS2 do krajowego porządku prawnego do 18 października 2024 r.!
Uwaga!
Praktycznie wszystkie podmioty gospodarcze a więc mikro, małe, średnie oraz duże podmioty, o ile tylko zajmują się kluczowymi sektorami gospodarki, oraz ważnymi sektorami, będą musiały dostosować swoją strukturę IT i organizację wewnątrz firmy tak, aby nie dopuścić do ataku na własną infrastrukturę IT.
Z kolei, o ile ona jednak się wydarzy (incydent), trzeba będzie odpowiednio szybko zebrać informacje o incydencie (a więc o naruszeniu bezpieczeństwa IT) i przesłać je do właściwego organu nadzorczego. Podobnie jak dzisiaj z RODO.
Dyrektywa NIS2, dotyczyć będzie jak wspomnieliśmy mikro, małych, średnich i dużych przedsiębiorstw, prowadzących działalność gospodarczą w sektorach kluczowych dla gospodarki takich jak:
NIS2, będzie też obowiązywał w zakresie sektorów ważnych dla gospodarki i również dotyczył mikro, małych, średnich i dużych przedsiębiorstw prowadzących działalność w sektorach:
Co jednak ważne, za bezpieczeństwo infrastruktury IT odpowiadać będą wszyscy, czy to właściciele firm jednoosobowych jak i członkowie zarządu osób prawnych, w tym również osoby niezajmujące się bezpieczeństwem informacji IT w danym podmiocie!
Tak więc, każdy zajmujący stanowisko zarządcze w firmie powinien wymagać, aby został przeprowadzony odpowiedni audyt infrastruktury IT a następnie szkolenie własne i pracowników a także dopilnować wdrożenia mechanizmów, które pozwolą zminimalizować ryzyko ataku na infrastrukturę własną IT, a tym samym odpowiedzialność właścicieli i członków zarządu, za błędy w raportowaniu ewentualnych incydentów.
Dodamy, że do czasu implementacji NIS2, obowiązuje w Polsce, ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UKSC), która albo będzie znowelizowana, albo doczekamy się nowej ustawy która będzie odpowiadać wymaganiom stawianym przez dyrektywę NIS2.
Nie wiadomo również, czy polski ustawodawca w ramach polskiego procesu implementacji dyrektywy NIS2, zaimplementuje ją w całości, czy też np. rozszerzy katalog środków cyberbezpieczeństwa, których jest 10 a wymienione są w dyrektywie NIS2 (art. 21 ustęp 2 lit. a–j)
Jak by jednak nie postanowił nasz ustawodawca, w dyrektywie NIS2 wskazuje się, że za nieprzestrzeganie NIS2, grozić mogą kary do 10 mln euro lub 2 proc. całkowitego rocznego obrotu firmy.
Działy IT nie będą mogły narzekać na nudę! ;)
#dyrektywaNIS2 #NIS2 #NetworkandInformationSystemsDirective2 #RODO #UE #globalnetwork #księgowość #doradztwopodatkowe #ETLGLOBAL #ETLGLOBALPolska #księgowaniepl
Telefon |
|
Biuro główne: Twarda 18 00-105 Warszawa |