Cyberbezpieczeństwo: koszt czy inwestycja? Raport EY o implementacji dyrektywy NIS2

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynika z raportu EY. Inni eksperci są zdania, że to uzasadnione.

Publikacja: 09.09.2024 04:30

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynik

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynika z raportu EY.

Foto: Adobe Stock

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, stanowiący wdrożenie dyrektywy NIS2, wzbudza wiele kontrowersji. Wskazuje się m.in. na wysokie koszty dostosowania do nowych wymogów związanych z cyberbezpieczeństwem i nadregulację w stosunku do wymagań unijnych.

Cyberbezpieczeństwo w Polsce. Surowsze rygory implementacji dyrektywy NIS2

Na ten ostatni aspekt zwracają uwagę eksperci EY, którzy opublikowali właśnie raport pt. „Implemtacja Dyrektywy NIS2 w Polsce na tle wybranych państw UE”. Jak wskazują jego autorzy – Justyna Wilczyńska-Baraniak, Patryk Gęborys i Alicja Guzy z EY, Polska przyjmuje jedno z bardziej rygorystycznych stanowisk przy implementacji, wprowadzając rozwiązania stanowiące nadregulację.

Czytaj więcej

Cyberbezpieczeństwo wzrośnie

„Polski projekt nowelizacji UKSC wykracza poza wymogi unijnej dyrektywy NIS2, wprowadzając bardziej rygorystyczne przepisy. W szczególności, zwiększa zakres kontroli nad sektorami uznawanymi za kluczowe, poszerzając ich klasyfikację w porównaniu do kategorii określonych przez NIS2” – czytamy w raporcie. Chodzi o branże chemiczną, żywnościową i medyczną, które unijne przepisy określają jako ważne, a w polskim projekcie przepisów uznano je za  kluczowe. A to wiąże się z surowszymi wymaganiami bezpieczeństwa i zwiększeniem kosztów niezależnie od rozmiaru  podmiotu. Zdaniem ekspertów EY może to nie być proporcjonalne i uzasadnione. Jak wskazują, zwiększenie zakresu kontroli wymusza dodatkowe koszty w postaci częstszych audytów i wdrożenia mechanizmów kontroli.Opracowanie wskazuje też na to, że projekt nowelizacji przewiduje bardziej rozbudowany system kar za naruszenia cyberbezpieczeństwa niż dyrektywa NIS2. Jak wskazują eksperci EY, wprowadzenie dodatkowych elementów, takich jak natychmiastowa wykonalność decyzji, czyni system kar bardziej dotkliwym i może mieć znaczny wpływ na działalność biznesu (zwłaszcza że polskie organy będą mogły nałożyć karę w  wysokości do 100 mln zł). Maksymalna wysokość kar w dyrektywie wynosi do 10 mln euro lub 2 proc. obrotów dla podmiotów kluczowych oraz do 7 mln euro lub 1,4 proc. obrotu dla podmiotów ważnych. W kontekście zaostrzenia wymogów w raporcie przytoczono też statystyki incydentów cyberbezpieczeństwa. „Największy wzrost, wg raportów CERT Polska z 2022 i 2023 roku, w zgłoszonych incydentach najwięcej jest oszustw komputerowych, które w 2023 r. stanowiły około 95 proc. wszystkich incydentów.

Natomiast włamania, próby włamania, dostępność zasobów, ataki na bezpieczeństwo informacji, oraz wykorzystywanie podatności wyniosły w 2023 r. niespełna 3 proc. wszystkich incydentów (2,53 proc.). Należy również zwrócić uwagę, że z roku na rok udział ww. kategorii incydentów wzrósł zaledwie o 0,33 proc. (z 2,2 proc. w 2022 r. do 2,53 proc. w 2023 r.)” – wskazują eksperci EY.Jednak jak zauważa mec. Jakub Barański z kancelarii Wardyński i Wspólnicy, specjalizujący się w cyberbezpieczeństwie i nowych technologiach, nie należy lekceważyć ataków pishingowych (polegających na wyłudzeniu np. danych do logowania), które najczęściej stanowią tylko wstęp do znacznie bardziej groźnych ataków typu ransomware.

Czytaj więcej

Atak hakerski na komorników. Są fałszywe obwieszczenia o licytacjach

– Koszty związane z likwidacją skutków takich ataków, w których cyberprzestępcy grożą upublicznieniem wykradzionych w ten sposób danych, są duże. Mam na myśli nie tylko sytuacje, w których firma zdecyduje się zapłacić okup, ale także koszty związane z obsługą prawną i techniczną takiego zdarzenia, również w postaci wprowadzenia wtedy na gorąco nieprzemyślanych rozwiązań zabezpieczających. A problem nie dotyka tylko największych, ale już nawet małych i średnich przedsiębiorstw w Polsce – mówi adwokat.

Dyrektywa NIS2 jest elastyczna

Jego zdaniem, choć projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa nie jest wolny od mankamentów, to trudno mówić, że stanowi on nadregulację.  – Dyrektywa NIS2 przewiduje tylko minimalne standardy, ale nie zamyka drzwi państwom członkowskim do wprowadzenia ostrzejszych wymagań, o ile nie będą sprzeczne z dyrektywą. Ma to sens, zwłaszcza w kontekście przedmiotu tej regulacji, bo w poszczególnych państwach może być różny stopień cyberzagrożenia w odniesieniu do różnych sektorów gospodarki. Liczba ataków w Polsce przekracza średnią unijną, co może usprawiedliwiać surowsze podejście – wskazuje ekspert.

Jego zdaniem, choć można dyskutować, czy wszystkie dodatkowe wymagania ponad standard przewidziany w dyrektywie są niezbędne, to co do zasady koszty związane z dostosowaniem się do wymogów zapewniania cyberbezpieczeństwa trzeba traktować bardziej jako inwestycję w bezpieczeństwo, dzięki któremu można uniknąć większych strat.

Opinia dla "Rzeczpospolitej"

Michał Kanownik Związek Cyfrowa Polska

Z jednej strony rozumiem głosy przedstawicieli biznesu wskazujące na wysokie koszty dostosowania się do wymogów nowelizowanej ustawy o KSC, ale z drugiej nie zapominajmy, że mówimy o bezpieczeństwie. Zestawienie tych dwóch kwestii: bezpieczeństwo vs koszty jest nierówne, bo na bezpieczeństwie nie da się oszczędzać. Moim zdaniem nie mamy do czynienia z próbą nadregulacji, ale raczej podniesieniem pewnych wymagań w zakresie cyberbezpieczeństwa. Jesteśmy w szczególnym położeniu i w szczególnej sytuacji. Wojna w Ukrainie i zmasowana ilość ataków na naszą infrastrukturę, która odbywa się niemalże każdego dnia, jest najlepszym dowodem na to, że potrzebujemy nie tylko porozumienia ponad podziałami politycznymi, ale też na linii państwo–biznes. Trzymam kciuki, by jak najszybciej ten projekt trafił do Sejmu, bo dużo większe zagrożenie od projektowanych przepisów stanowi gigantyczne opóźnienie w ich przyjęciu. Na bezpieczeństwie narodowym nie wolno ani oszczędzać, ani zwlekać z odpowiednimi regulacjami.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, stanowiący wdrożenie dyrektywy NIS2, wzbudza wiele kontrowersji. Wskazuje się m.in. na wysokie koszty dostosowania do nowych wymogów związanych z cyberbezpieczeństwem i nadregulację w stosunku do wymagań unijnych.

Cyberbezpieczeństwo w Polsce. Surowsze rygory implementacji dyrektywy NIS2

Pozostało 95% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Czym jeździć
Technologia, której nie zobaczysz. Ale możesz ją poczuć
Tu i Teraz
Skoda Kodiaq - nowy wymiar przestrzeni
Edukacja i wychowanie
Jedna lekcja religii w szkołach, dwie w przedszkolach i grupy międzyszkolne. Jest projekt zmian
Prawo dla Ciebie
Nowy obowiązek dla właścicieli psów i kotów. Znamy szacowany koszt
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw