W październiku 2024 roku zacznie obowiązywać Dyrektywa NIS2, na początku 2025 roku wejdzie w życie Rozporządzenie o Odbudowie i Odporności Cyfrowej (DORA), a we wrześniu 2025 roku w życie wejdzie Akt w sprawie danych.
Nowe przepisy będą miały istotny wpływ na działalność firm w krajach Unii Europejskiej, w tym również w Polsce. Dużo mówi się o nowych regulacjach takich jak NIS2 i DORA, które mają znaczący wpływ na bezpieczeństwo cybernetyczne i ochronę danych w Unii Europejskiej. Jednakże, jak pokazują dane, wiele polskich przedsiębiorstw ma niski poziom świadomości i przygotowania w odniesieniu do innych regulacji.
Według badania przeprowadzonego przez YouGov na zlecenie Hewlett Packard Enterprise (HPE), 30 proc. respondentów w Polsce nie słyszało o nadchodzących zmianach w przepisach dotyczących przetwarzania danych. Dodatkowo, 22 proc. firm przyznaje, że jeszcze nie zaczęły przygotowań do wdrożenia nowych regulacji. Jedynie 17 proc. ankietowanych przedsiębiorstw deklaruje, że rozpoczęło już odpowiednie przygotowania, zaś zaledwie 7 proc. ma konkretne plany wdrożenia niezbędnych rozwiązań.
— To niepokojące informacje, ponieważ akt prawny dotyczący ochrony danych wpłynie na każdy aspekt działalności przedsiębiorstw. Producenci urządzeń połączonych z siecią i dostawcy usług powiązanych zostaną zobowiązani do udostępniania użytkownikom generowanych przez nich danych. Umożliwi to nie tylko usprawnienie automatyzacji produkcji, ale też optymalizację innych procesów biznesowych, a także możliwość trenowania własnych modeli sztucznej inteligencji — podkreśla Stanisław Borkowski, dyrektor działu zarządzania bezpieczeństwem i jakością w Polcom.
Według szacunków Komisji Europejskiej dzięki nowym przepisom PKB państw członkowskich wzrośnie do 2028 roku o dodatkowe 270 mld euro.
Biznes nie jest gotowy
Z badania KPMG „Barometr cyberbezpieczeństwa 2024” wynika, że prawie 70 proc. badanych firm potwierdziło istnienie specjalnego zespołu lub osoby odpowiedzialnej za zapewnienie zgodności z regulacjami IT w ich organizacjach. Pomimo tego, polskie przedsiębiorstwa wciąż borykają się z niedoborem wykwalifikowanych pracowników w obszarze cyberbezpieczeństwa. Na tle średniej europejskiej, gdzie tylko 21 proc. organizacji zatrudnia osoby z formalnymi kwalifikacjami, Polska wypada lepiej – 36 proc. firm posiada certyfikowanych specjalistów. Jednak tylko co trzeci specjalista w Polsce ma formalne kwalifikacje i doświadczenie w zakresie cyberbezpieczeństwa, co nadal jest niewystarczające.
— W kontekście nowych regulacji, dostawcy usług chmurowych mogą odegrać kluczową rolę w wsparciu firm w spełnianiu wymogów prawnych. Zdecydowana większość polskich przedsiębiorstw szuka wsparcia w zakresie zarządzania bezpieczeństwem u zewnętrznych dostawców usług. Na koniec 2023 roku aż 84 proc. firm badanych w „Barometrze cyberbezpieczeństwa” korzystało z outsourcingu usług w tego obszaru, a odsetek ten stale rośnie. Takie dane nie dziwią. Dla przykładu dostawca usług chmurowych może przejąć odpowiedzialność za monitorowanie incydentów bezpieczeństwa czy zasobów sieciowych, co wymaga pracy specjalistów w trybie 24/7. Przekłada się to nie tylko na zwiększenie poziomu bezpieczeństwa, ale także pozwala wdrożenie zaawansowanych zabezpieczeń bez konieczności budowy wieloosobowego zespołu pracującego w całodobowym trybie — mówi Stanisław Borkowski.
Polskie przedsiębiorstwa nie są odpowiednio przygotowane na nadchodzące zmiany prawne dotyczące cyberbezpieczeństwa i ochrony danych – to fakt, do którego wielu firmom ciężko się przyznać. Mimo że niektóre firmy posiadają specjalny zespół odpowiedzialny za zapewnienie zgodności z regulacjami IT, wciąż brakuje odpowiednio wykwalifikowanych specjalistów w tej dziedzinie, przede wszystkim w obszarach związanych z bezpieczeństwem danych. Nie pomaga także to, że dostosowanie się do nowych regulacji, takich jak choćby NIS2, wymaga od wielu firm przygotowania do pracy zespołów, które byłby w stanie monitorować i raportować np. incydenty bezpieczeństwa w trybie całodobowym.
W związku z tym współpraca z doświadczonymi dostawcami usług chmurowych oraz zewnętrznymi specjalistami ds. cyberbezpieczeństwa może okazać się kluczowa dla polskich przedsiębiorstw, aby sprostać nowym wymogom i zabezpieczyć swoje dane oraz systemy przed rosnącymi zagrożeniami.
Warto zwrócić uwagę także na pozytywny aspekt sprawy. Dostosowując swoje wewnętrzne procedury oraz przystosowując się do nowych przepisów, firmy nie tylko w wyższym stopniu zabezpieczają swoją ciągłość działania, ale mogą także wykorzystać szerzej potencjał płynący z nowych technologii, usprawniając przy okazji określone obszary biznesowe np. poprzez automatyzację produkcji czy weryfikując dotychczasowe modele funkcjonowania systemów biznesowych. Dzięki wykorzystaniu tych narzędzi, przedsiębiorstwa mogą zwiększyć swoją efektywność i konkurencyjność na rynku, a także zmniejszyć koszty działalności. W konsekwencji, nowe przepisy nie muszą być tylko obciążeniem, ale również szansą na rozwój i innowacje w biznesie.
Czytaj też: