Osoby, które w ostatnich tygodniach planowały rozbudowę komputera o dodatkową pamięć RAM lub szybszy dysk SSD, mogły przeżyć niemałe zaskoczenie. Ceny komponentów pamięci RAM i dysków wyraźnie poszły w górę, a wszystko wskazuje na to, że nie jest to chwilowa korekta, lecz efekt głębszych zmi...
Firmy korzystają z centrów danych, aby sprawnie obsłużyć duże ilości ruchu przychodzącego i wychodzącego oraz umożliwić płynną komunikację między partnerami biznesowymi. Centra danych są jednak mocno rozproszone geograficznie. Umożliwia to szybsze i bardziej niezawodne połączenie użytkownikom z całego świata, of...
Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...
W erze dynamicznej transformacji cyfrowej coraz więcej organizacji sięga po technologie dostępne na żądanie - takie jak chmura publiczna, SaaS czy generatywna sztuczna inteligencja (GenAI). Ich wspólnym celem jest zwiększenie zwinności, innowacyjności i konkurencyjności firm. Jednak, jak pokazuje najnowsze globa...
Współczesne środowiska IT stają się coraz bardziej wymagające. Firmy i instytucje muszą sprostać rosnącym oczekiwaniom w zakresie wydajności, elastyczności, bezpieczeństwa oraz zgodności z regulacjami. Tradycyjne modele zarządzania infrastrukturą IT coraz częściej okazują się niewystarczające, a konieczność szyb...
W dobie szybko rozwijających się technologii Smart Home coraz więcej użytkowników poszukuje rozwiązań, które pozwolą na wygodne i centralne zarządzanie inteligentnymi urządzeniami w domu. Połączenie bramki FRITZ!Smart Gateway z głośnikami Amazon Echo i asystentem Alexa to prosty sposób na wprowadze...
Prezydent podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza do polskiego porządku prawnego unijną dyrektywę NIS2. Dla firm w Polsce nadchodzą intensywne tygodnie - będą musiały zweryfikować, czy i w jakim zakresie podlegają nowym przepisom, uporządkować systemy zarządzania ryzykiem oraz przygotować zarząd na rozszerzoną odpowiedzialność, także finansową, za cyberbezpieczeństwo.
Termin wdrożenia przepisów wynikających z dyrektywy NIS2 minął 17 października 2024 roku. Regulacja zmieniła standardy w zakresie cyberbezpieczeństwa w całej Unii Europejskiej, rozszerzając obowiązki przedsiębiorstw m.in. w obszarze zarządzania ryzykiem, ochrony łańcuchów dostaw oraz raportowania incydentów. Niespełnienie nowych zasad będzie grozić karami sięgającymi nawet 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa - w zależności od tego, która kwota jest wyższa.
Polska przyjęła nowelizację ustawy o KSC po niemal 18 miesiącach od upływu unijnego terminu, choć opóźnienia we wdrażaniu dyrektywy dotyczyły również innych państw członkowskich. Nowy akt prawny wejdzie w życie po miesiącu od ogłoszenia w Dzienniku Ustaw. Jednocześnie prezydent skierował podpisaną ustawę do Trybunału Konstytucyjnego, który przyjrzy się wybranym zapisom i oceni ich poprawność.
Koniec okresu niejasności
Przedłużający się proces legislacyjny i kolejne wersje projektów ustawy powodowały, że przedsiębiorstwa przez wiele miesięcy funkcjonowały w warunkach niepewności. Potwierdza to badanie Fortinet przeprowadzone w 2024 r.: 3 na 4 polskie przedsiębiorstwa słyszały wtedy o dyrektywie NIS2, ale ponad połowa nie wiedziała, czy zostanie objęta nowymi wymaganiami. Największe wyzwania dotyczyły wdrożenia polityki zarządzania ryzykiem i bezpieczeństwa systemów IT (38%) oraz zapewnienia ciągłości działania biznesu (33%). Niemal połowa badanych przyznawała, że nie wie, jakie rozwiązania powinna wdrożyć, aby przygotować się na nowe regulacje.
"Świadomość cyberzagrożeń wśród przedsiębiorców cały czas rośnie, ale bez ostatecznego kształtu przepisów trudno się dziwić, że wiele firm wstrzymywało się z decyzjami inwestycyjnymi. W praktyce przedsiębiorstwa analizowały scenariusze, nie mając pewności, które obowiązki będą je dotyczyć i w jakim zakresie. Teraz ten etap się kończy, a podpisana ustawa oznacza konieczność przejścia od analiz do konkretnych działań" - wskazuje Joanna Chmielak, Enterprise Sales Manager w firmie Fortinet.
Choć status legislacyjny ustawy jest dziś jednoznaczny, zakres nowych przepisów wciąż rodzi wątpliwości. Nowelizacja obejmuje 18 sektorów gospodarki, zgodnie z dyrektywą NIS2 oraz wprowadza podział na podmioty kluczowe i ważne, objęte zróżnicowanym poziomem nadzoru regulacyjnego. Przedsiębiorstwa będą musiały samodzielnie ocenić, czy podlegają ustawie o KSC i do której kategorii powinny zostać przypisane, a także dokonać rejestracji we właściwym organie. To na nich spoczywa odpowiedzialność za prawidłową interpretację przepisów, a ewentualne błędy mogą skutkować sankcjami administracyjnymi oraz ryzykiem finansowym i wizerunkowym.
Klimat regulacyjny dla firm w UE
Firmy funkcjonują dziś w środowisku, w którym liczba regulacji dotyczących cyberbezpieczeństwa systematycznie rośnie, a wymagania stają się coraz bardziej szczegółowe. Z jednej strony zwiększa się skala i zaawansowanie cyberataków, z drugiej - przedsiębiorstwa muszą równolegle odpowiadać na nowe obowiązki prawne.
W takich warunkach wiele podmiotów szuka stabilnego punktu odniesienia, pozwalającego stworzyć trwały model odporności, który wykracza poza jedną konkretną regulację. Badanie Fortinet z 2024 roku wskazało, że ponad 30% polskich firm wspiera się międzynarodowymi standardami, najczęściej normą ISO 27001 określającą zasady zarządzania bezpieczeństwem informacji. W ten sposób organizacje próbują porządkować i trzymać kontrolę nad procesami zarządzania cyberochroną, niezależnie od zmieniających się przepisów. A tych będzie coraz więcej.
Dyrektywa NIS2 nie jest jedyną regulacją, która w najbliższych latach wpłynie na funkcjonowanie przedsiębiorstw w Polsce. Równolegle państwa członkowskie wdrażają dyrektywę Critical Entities Resilience (CER) dotyczącą odporności podmiotów krytycznych, a na terenie UE zaczynają być stosowane rozporządzenia, takie jak Cyber Resilience Act (CRA) oraz AI Act. Każdy z tych aktów wymaga uporządkowania procesów, dokumentowania dojrzałości organizacyjnej oraz jasnego podziału odpowiedzialności. Opóźnienie we wdrażaniu NIS2 pokazało, jak wymagający dla podmiotów nimi objętych jest proces dostosowywania się do regulacji z zakresu cyberbezpieczeństwa. Bez systemowego podejścia w firmach ryzyko kumulacji obowiązków przy wprowadzaniu kolejnych wymogów rośnie.
"Największym wyzwaniem nie jest dziś pojedyncza regulacja, lecz zdolność przedsiębiorstwa do budowy trwałego modelu zarządzania cyberbezpieczeństwem. Wiele firm wciąż traktuje cyfrową ochronę projektowo, kończąc na dostawie sprzętu i „odhaczeniu” wymagań formalnych. Jednak bez utrzymania systemów i ich aktualizacji takie inwestycje są krótkoterminowe i w praktyce niewiele zmieniają. Poza kupowanym sprzętem potrzebne jest również inwestowanie w wiedzę i długofalowe wsparcie ekspertów. Bezpieczeństwo wymaga bowiem nie tylko rozwiązań technicznych, ale też dojrzałych procesów i kompetencji, których w wielu przedsiębiorstwach wciąż brakuje" - podkreśla Joanna Chmielak z Fortinet.
W najbliższych latach regulacje w obszarze cyberbezpieczeństwa zaczną być egzekwowane w praktyce - poprzez kontrole, audyty i wymóg przedstawienia konkretnych dowodów spełniania obowiązków. Zgodność z przepisami przestanie być deklaracją w polityce bezpieczeństwa, a stanie się elementem codziennego funkcjonowania organizacji. Przedsiębiorstwa, które już dziś budują spójny model zarządzania bezpieczeństwem, będą lepiej przygotowane na rosnącą presję regulacyjną.
Źródło: Fortinet
