Nowelizacja Krajowego Systemu Cyberbezpieczeństwa to formalne przejście z „dobrych praktyk” do twardych obowiązków. Polska implementacja NIS2 rozszerza katalog sektorów i wymaga systemowego zarządzania ryzykiem, z osobistą odpowiedzialnością kierownictwa oraz obowiązkowymi szkoleniami. Zakłada się, że nowe przepisy zostaną przyjęte w tym roku.[1] Ścieżka legislacyjna jest standardowa: projekt musi przejść głosowania w Sejmie i Senacie, a następnie wymaga podpisu prezydenta, aby mógł wejść w życie.
Przed wieloma firmami, a zwłaszcza tymi z sektora przemysłowego, przyspieszony test dojrzałości i gotowości całej organizacji. Nie powinno być to jednak zaskoczeniem, ponieważ przepisy miały obwiązywać już od 2024 roku. Tymczasem w czerwcu bieżącego roku ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) opublikowała raport zawierający wytyczne techniczne wspierające wdrożenie dyrektywy NIS2 w wybranych sektorach.[2]
Jak przygotować się do nowej ustawy? Na początku warto ustalić, czy nasza firma po wprowadzeniu nowych przepisów stanie się podmiotem kluczowym lub ważnym. NIS2 obejmuje szerokie spektrum sektorów, a w praktyce państwa wprowadzają mechanizm samoidentyfikacji i rejestracji w krajowym wykazie. To obowiązek – przeanalizuj typ działalności, skalę i kryteria z załączników NIS2, a następnie zarejestruj się w krajowym systemie, gdy już się pojawi.
Ponadto cyberbezpieczeństwo to proces, dlatego podstawą jest codzienna dyscyplina operacyjna i świadomość pracowników, o co warto zadbać już teraz. Z kolei świadomość pracowników wynika z poprawnie zdefiniowanych procesów ciągłości działania, gdzie role są dobrze zakomunikowane, a kluczowe komponenty dostarczone przed solidnego dostawcę, dzięki czemu w sytuacji kryzysowej można podejmować szybkie działania korekcyjne, a następnie korygujące. Kluczowa jest też wiedza w trakcie trwania incydentu, a takie dane będzie w stanie podać tylko solidny partner posiadający wiedzę i świadomość wewnętrzną.
[1]https://www.gov.pl/web/cyfryzacja/ministerstwo-cyfryzacji-zaprezentowalo-projekt-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
[2]https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
