Raport Specjalny | Technologie Bankowe | Zapobieganie atakom wymaga elastycznego, spójnego i zrozumiałego prawa

Na koniec listopada ub.r., a więc już po terminie wyznaczonym na implementację NIS2, liczba państw członkowskich, które implementowały ten akt prawny, była przeszło dwukrotnie niższa. „W konsekwencji, 28 listopada 2024 r. Komisja Europejska wszczęła procedury naruszeniowe wobec 23 państw członkowskich” – przypomina ECSO. I dodaje, iż opóźnienia w przyjęciu NIS2 nie są jedynym uchybieniem. „Proces transpozycji charakteryzował się znaczną rozbieżnością zarówno pod względem harmonogramów, jak i wdrażanych wymogów, co generuje poważne wyzwania zarówno w obszarze operacyjnym, jak i compliance dla podmiotów świadczących usługi w wielu jurysdykcjach” – zaznaczono w analizie, zamieszczonej na stronie organizacji 6 marca br.

Zmieniające się przepisy w zakresie cyberbezpieczeństwa są też źródłem niepewności dla europejskich firm. Badania, przeprowadzone przez Deloitte we współpracy z ECSO, Instytutem Kościuszki i polskim resortem cyfryzacji w przeddzień objęcia przez nasz kraj prezydencji w Unii Europejskiej, wykazały, iż niemal ¾ podmiotów gospodarczych UE traktuje ten obszar jako główne wyzwanie. To niedobry prognostyk w sytuacji, kiedy jedynie 8% globalnych gigantów IT reprezentuje Stary Kontynent, a 80% podmiotów inwestujących w europejską branżę cybersecurity to firmy amerykańskie.

Niepokojące ustalenia potwierdzają analizy przeprowadzone przez Grupę Roboczą ds. Zarządzania Cyberryzykami ECSO, obejmujące 155 instytucji z 23 państw UE. „Niemal ¾ organizacji nie ma dedykowanych budżetów na wdrożenie, a 1/3 deklaruje brak zaangażowania kierownictwa, choć jest to wymóg prawny” – zapisano w opublikowanej z początkiem tego roku „Białej księdze implementacji NIS2”, będącej podsumowaniem wyników wspomnianego badania. Takie uchybienia mogą wiązać się z całkiem poważnymi sankcjami. „Za nieprzestrzeganie przepisów grożą kary do 10 mln euro lub 2% globalnego obrotu, a także osobista odpowiedzialność zarządów” – ostrzegają eksperci firmy audytorskiej Grant Thornton.

Nie tylko NIS2 czy DORA

A przecież NIS2 to nie jedyna nowa regulacja unijna, odnosząca się do szeroko rozumianego obszaru cyberodporności i bezpieczeństwa cyfrowego. Od 17 stycznia br. podmioty rynku finansowego powinny wdrożyć w praktyce postanowienia rozporządzenia o operacyjnej odporności cyfrowej (DORA). Akt ten nie wymaga implementacji, niemniej nie obyło się bez korekt w obowiązujących ustawach. „Niektóre przepisy DORA wymagają wprowadzenia zmian do polskiego porządku prawnego, zwłaszcza w zakresie wyznaczenia organów właściwych oraz nałożenia obowiązków na podmioty finansowe” – wskazywali eksperci Deloitte w komunikacie opublikowanym po prezentacji projektu ustawy zapewniają...