NIS2: Dlaczego ryzyko jest zbyt duże, by je zignorować?
Dyrektywa NIS-2 obejmuje firmy z sektorów takich jak energetyka, transport, finanse, zdrowie i usługi cyfrowe, w tym średnie i duże przedsiębiorstwa pełniące kluczowe role w infrastrukturze krytycznej. Wymaga wdrożenia systemów zarządzania ryzykiem, szybkiego raportowania incydentów oraz stałego monitorowania zagrożeń cybernetycznych. Organizacje muszą przeprowadzić audyt bezpieczeństwa, zidentyfikować ryzyka i dostosować swoje procedury do nowych wymogów. Kluczowe jest również szkolenie personelu i zapewnienie skutecznego nadzoru zarządu nad ochroną IT.
Za nieprzestrzeganie przepisów grożą kary do 10 milionów euro lub 2% globalnego obrotu, a także osobista odpowiedzialność zarządów. Najczęstsze przewinienia to opóźnienia w raportowaniu incydentów oraz brak wdrożonych procedur bezpieczeństwa.
Dostosowanie do NIS-2 to nie tylko obowiązek, ale też szansa na poprawę zabezpieczeń i budowanie zaufania klientów. Wspieramy firmy w przygotowaniu się do nowych regulacji, minimalizując ryzyko i chroniąc przed sankcjami. Skontaktuj się z nami, aby zabezpieczyć swoją organizację na przyszłość!
Nie wiesz czy Twoja firma podlega pod NIS2? Sprawdź! [ANKIETA]
NIS-2 – czy moja firma podlega? [ANKIETA]
Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.
IA Act – Klasyfikacja sztucznej inteligencji
W połowie tego roku w życie weszło rozporządzenie IA Act, który diametralnie zmienia podejście do zarządzania ryzykiem w systemach sztucznej inteligencji. Nadchodzący luty 2025 roku będzie kluczowym momentem, w którym rozpocznie się pierwszy etap klasyfikacji systemów AI o niedopuszczalnym ryzyku. Co to oznacza w praktyce?
Firmy będą zobowiązane natychmiast wycofać lub gruntownie przebudować systemy AI, które stwarzają niedopuszczalne ryzyko dla społeczeństwa. Dlatego firmy powinny jak najszybciej rozpocząć kompleksową inwentaryzację wszystkich systemów AI, zidentyfikować potencjalne obszary ryzyka i systematycznie oceniać ich zgodność z wytycznymi rozporządzenia, aby w kolejnych etapach uniknąć kumulacji zadań i presji czasowej, która mogłaby sparaliżować działania dostosowawcze. Zakończenie pierwszego etapu klasyfikacji w sposób rzetelny i terminowy pozwoli na płynne przejście do kolejnych faz wdrażania AI Act, umożliwiając firmom rozłożenie procesu dostosowawczego w czasie i uniknięcie jednoczesnej realizacji wielu złożonych zadań regulacyjnych.
Kluczowym argumentem przemawiającym za natychmiastowym podjęciem działań jest ryzyko finansowe – brak wdrożenia wymaganych klasyfikacji może skutkować karami sięgającymi 30 milionów euro lub 6% rocznego globalnego obrotu firmy, co dla wielu przedsiębiorstw oznacza potencjalną stratę mogącą zagrozić stabilności finansowej całej organizacji.
Rozporządzenie nie jest jedynie biurokratycznym dokumentem, ale realną odpowiedzią na rosnące zagrożenia związane z niekontrolowanym rozwojem sztucznej inteligencji. Koncentruje się ono na ochronie praw obywatelskich, minimalizacji ryzyka dyskryminacji oraz zapewnieniu przejrzystości systemów AI.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
CRA (Cyber Resilience Act)
CRA (Cyber Resilience Act) to regulacja Unii Europejskiej, mająca na celu zwiększenie bezpieczeństwa produktów cyfrowych sprzedawanych w UE. Dotyczy ona producentów, importerów i dystrybutorów takich produktów oraz obejmuje urządzenia i oprogramowanie podłączone do sieci Internet. Nakłada obowiązek zapewnienia, że produkty są projektowane z myślą o bezpieczeństwie i pozostają odporne na zagrożenia cybernetyczne przez cały cykl życia.
Firmy muszą wdrożyć procesy oceny ryzyka, regularne aktualizacje oprogramowania oraz monitorowanie podatności. Przygotowując się, przedsiębiorstwa powinny przeanalizować swoje produkty, wzmocnić procedury testowania bezpieczeństwa i zapewnić zgodność z wymaganiami certyfikacyjnymi. Ważne jest także wdrożenie środków zarządzania incydentami i raportowania podatności.
Dyrektywa wymaga, by dokumentacja techniczna produktów była transparentna i dostępna dla organów nadzoru. W przypadku naruszenia przepisów, przewidziano kary administracyjne. Mogą one wynosić do 15 milionów euro lub 2,5% rocznego światowego obrotu firmy, zależnie od tego, która kwota jest wyższa.
CRA ma zastosowanie zarówno do nowych produktów, jak i tych już dostępnych na rynku, jeśli są one dalej wspierane. Ważne jest więc, by przedsiębiorstwa zaktualizowały istniejące produkty i procedury. Wdrożenie dyrektywy ma na celu ochronę konsumentów i infrastruktury przed rosnącymi zagrożeniami cybernetycznymi. Poprawi także zaufanie do technologii cyfrowych na europejskim rynku. Niedostosowanie się do wymogów może skutkować nie tylko karami, ale także utratą reputacji i ograniczeniem dostępu do rynku UE.
Rozporządzenie DORA (Digital Operational Resilience Act)
Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza nowe przepisy mające na celu wzmocnienie odporności operacyjnej instytucji finansowych w Unii Europejskiej. Obowiązuje on szeroki zakres podmiotowy, obejmujący nie tylko banki, ubezpieczycieli czy fundusze inwestycyjne oraz, co bardzo ważne,także dostawców usług technologicznych dla sektora finansowego.
W zakresie przedmiotowym DORA nakłada obowiązki związane z zarządzaniem ryzykiem ICT, w tym monitorowaniem i raportowaniem incydentów, testowaniem systemów oraz zarządzaniem relacjami z dostawcami. Aby się przygotować, instytucje powinny dokonać przeglądu swoich systemów zarządzania ryzykiem cyfrowym, zaktualizować procedury reagowania na incydenty oraz wprowadzić regularne testy odporności.
Za nieprzestrzeganie przepisów, takie jak brak odpowiedniego zarządzania ryzykiem lub niewywiązywanie się z obowiązków raportowych, przewidziane są wysokie kary finansowe, które mogą znacząco wpłynąć na działalność firmy.
Czytaj więcej: Rozporządzenie DORA: czym jest i kogo dotyczy?
Sprawdź, czy podlegasz pod rozporządzenie DORA
Uwaga, ankieta opiera się o uproszczone założenia. Jeśli chcesz poznać szerszy kontekst i upewnić się o zakresie nowych wymagań, skontaktuj się z naszym ekspertem, Adamem Woźniakiem.
AUTORZY: Theodora Caprusu, Piotr Dunder, Hubert Bekasiewicz
