{"id":11348,"date":"2024-11-21T09:24:04","date_gmt":"2024-11-21T08:24:04","guid":{"rendered":"https:\/\/www.orange.pl\/poradnik-dla-firm\/?p=11348"},"modified":"2025-11-24T09:40:16","modified_gmt":"2025-11-24T08:40:16","slug":"nis2-nowe-wyzwania-polskie-firmy","status":"publish","type":"post","link":"https:\/\/www.orange.pl\/poradnik-dla-firm\/cyberbezpieczenstwo\/nis2-nowe-wyzwania-polskie-firmy\/","title":{"rendered":"Wywiad. NIS2 \u2013 nowe wyzwania dla polskich firm"},"content":{"rendered":"\n

Do Krajowego Systemu Cyberbezpiecze\u0144stwa zostan\u0105 zaimplementowane unijne przepisy NIS2. Obejm\u0105 one zdecydowanie wi\u0119ksz\u0105 grup\u0119 firm ni\u017c dotychczas i sporo zmieni\u0105 w kwestii ich cyberbezpiecze\u0144stwa. Czym s\u0105 regulacje NIS2 i co ich wprowadzenie oznacza dla polskich przedsi\u0119biorstw m\u00f3wi Piotr Kowalski \u2013 manager ds. transformacji w zespole Polityk Publicznych i Spraw Europejskich Orange Polska.<\/strong><\/p>\n

Unijna dyrektywa NIS2 ma na celu wzmocnienie cyberbezpiecze\u0144stwa firm. Czym dok\u0142adnie jest?<\/h2>\n

Dyrektywa NIS2 to unijny zestaw wymaga\u0144 kierowanych do sektor\u00f3w uznanych za kluczowe i wa\u017cne dla gospodarki. Okre\u015bla te\u017c uprawnienia organ\u00f3w administracji oraz zasady ich wsp\u00f3\u0142pracy na poziomie krajowym i wewn\u0105trz Unii Europejskiej.<\/p>\n

Co prawda, dyrektywa jest kojarzona z cyberbezpiecze\u0144stwem, ale tak naprawd\u0119 jej zakres jest zdecydowanie szerszy. W\u0142a\u015bciwszym okre\u015bleniem w tym przypadku wydaje si\u0119 wi\u0119c odporno\u015b\u0107 system\u00f3w i us\u0142ug.<\/p>\n

Dlaczego? Podstaw\u0105 jest bowiem podej\u015bcie do zabezpieczenia z uwzgl\u0119dnieniem wszelkich mo\u017cliwych zagro\u017ce\u0144. W to wlicza si\u0119 tak\u017ce bezpiecze\u0144stwo fizyczne obiekt\u00f3w, szkolenia pracownik\u00f3w, relacje z dostawcami. Dla wielu firm oznacza to rewolucj\u0119 i konieczno\u015b\u0107 stworzenia ca\u0142o\u015bciowego podej\u015bcia do tematu bezpiecze\u0144stwa, w kt\u00f3rym ochrona informatyczna jest jedynie cz\u0119\u015bci\u0105 systemu.<\/p>\n

W Polsce przepisy NIS2 nie zosta\u0142y zaimplementowane do Krajowego Systemu Cyberbezpiecze\u0144stwa. Co to w\u0142a\u015bciwie oznacza?<\/h2>\n

To prawda. Dyrektywa NIS2 wesz\u0142a w Unii Europejskiej w \u017cycie w styczniu 2023 r. Jej zgodno\u015b\u0107 na terytorium Polski trzeba b\u0119dzie zapewni\u0107 na zasadach i w terminach przewidzianych w nowelizacji ustawy o Krajowym Systemie Cyberbezpiecze\u0144stwa.<\/p>\n

Ta ma zosta\u0107 przyj\u0119ta przez rz\u0105d do ko\u0144ca roku i nast\u0119pnie trafi\u0107 do parlamentu. Po wej\u015bciu w \u017cycie pozostanie sze\u015b\u0107 miesi\u0119cy na wdro\u017cenia, a dla podmiot\u00f3w, kt\u00f3re nie by\u0142y dotychczas operatorami us\u0142ug kluczowych, 24 miesi\u0105ce na pierwszy audyt.<\/p>\n

Nowe przepisy to du\u017ce wyzwania. Jakie s\u0105 najwa\u017cniejsze zmiany w nowelizacji ustawy?<\/h2>\n

Przede wszystkim zakres obj\u0119tych podmiot\u00f3w. Aktualnie operator\u00f3w us\u0142ug kluczowych jest 378. Teraz przepisy obejm\u0105 ok. 10 tys. firm i ok. 28 tys. jednostek publicznych. Zasad\u0105 b\u0119dzie samoidentyfikacja jako podmiot kluczowy lub wa\u017cny i zg\u0142oszenie do rejestru.<\/p>\n

Za najwi\u0119ksz\u0105 zmian\u0119 w logice ca\u0142ego systemu uznaj\u0119 jednak odej\u015bcie od wdra\u017cania bezpiecze\u0144stwa tylko wobec konkretnej us\u0142ugi, ale wym\u00f3g zapewnienia go w ca\u0142ej organizacji.<\/p>\n

Organy kontrolne otrzymaj\u0105 tak\u017ce mo\u017cliwo\u015b\u0107 naprawd\u0119 g\u0142\u0119bokiego zweryfikowania, na ile rzetelnie zrealizowano wdro\u017cenie i czy zatrzyma\u0142o si\u0119 ono na poziomie tworzenia dokument\u00f3w, czy faktycznie \u201ezaszyto\u201d je w DNA organizacji.<\/p>\n

Dla cz\u0119\u015bci firm z sektora cyfrowego konieczne b\u0119dzie te\u017c spe\u0142nienie wymaga\u0144 rozporz\u0105dzenia Komisji Europejskiej, kt\u00f3re opublikowano 18 pa\u017adziernika. Bardzo drobiazgowo okre\u015bla ono progi zg\u0142aszania incydent\u00f3w oraz niezb\u0119dne elementy ram bezpiecze\u0144stwa. Dotychczas wymagania te by\u0142y bardzo skromne.<\/p>\n

Czy polskie firmy s\u0105 przygotowane na takie wymagania? Ile maj\u0105 czasu na przygotowanie si\u0119 do zmian?<\/h2>\n

Publikowane ostatnio badania wskazuj\u0105, \u017ce firmy nie s\u0105 jeszcze gotowe. Do momentu, kiedy uprawnione organy b\u0119d\u0105 mog\u0142y rozpocz\u0105\u0107 kontrole, zosta\u0142o jeszcze oko\u0142o roku. To nie oznacza jednak, \u017ce mo\u017cemy spocz\u0105\u0107 na laurach.<\/p>\n

Dla firm, kt\u00f3re dotychczas nie zbudowa\u0142y tzw. systemu bezpiecze\u0144stwa, nie maj\u0105 podstawowych certyfikat\u00f3w dot. bezpiecze\u0144stwa informacji i ci\u0105g\u0142o\u015bci dzia\u0142ania, to wr\u0119cz ostatni dzwonek na rozpocz\u0119cie przygotowa\u0144. Dla przedsi\u0119biorstw dojrza\u0142ych w tej dziedzinie to przegl\u0105d wszystkich procedur, struktury firmy oraz szukanie luk i rozbie\u017cno\u015bci, a tak\u017ce dostosowanie do najnowszych wytycznych.<\/p>\n

Na teraz powiedzia\u0142bym, \u017ce najwa\u017cniejsze jest zweryfikowanie, czy nowe przepisy nas obejm\u0105. Samodzielnie lub z zaufanym partnerem trzeba sprawdzi\u0107, czy spe\u0142niamy kryteria wielko\u015bciowe oraz prowadzimy dzia\u0142alno\u015b\u0107 kluczow\u0105 lub wa\u017cn\u0105 w my\u015bl za\u0142\u0105cznik\u00f3w do projektu ustawy. Szczeg\u00f3lnie w sektorze produkcji mo\u017cna by\u0107 zaskoczonym, bo podmiotem wa\u017cnym mo\u017ce by\u0107 np. producent rower\u00f3w czy w\u00f3zk\u00f3w inwalidzkich.<\/p>\n

Realizacja nowych przepis\u00f3w b\u0119dzie kosztowa\u0107. Czy firmy na to sta\u0107? Czy b\u0119d\u0105 potrzebowa\u0107 nowych, kosztownych narz\u0119dzi do walki z cyberatakami?<\/h2>\n

Wbrew intuicji nowe przepisy to nie b\u0119dzie domena wy\u0142\u0105cznie specjalist\u00f3w od cyberbezpiecze\u0144stwa, ale tak\u017ce os\u00f3b w kadrach, prawnik\u00f3w, specjalist\u00f3w od zakup\u00f3w, \u015brodowiska biurowego i wielu innych obszar\u00f3w.<\/p>\n

My\u015bl\u0105c o dostosowaniu, nie mo\u017cna zaczyna\u0107 od kupowania narz\u0119dzi IT, ale od zaprojektowania systemu bezpiecze\u0144stwa, w ramach kt\u00f3rego b\u0119d\u0105 one dobrze funkcjonowa\u0107. Koszt\u00f3w nie uda si\u0119 unikn\u0105\u0107, ale dzi\u0119ki dobrej organizacji ca\u0142ego procesu mo\u017cna przynajmniej mie\u0107 pewno\u015b\u0107, \u017ce pieni\u0105dze zosta\u0142y wydane na to, co by\u0142o faktycznie potrzebne.<\/p>\n

Czy firmy na to sta\u0107? Zar\u00f3wno krajowe, jak i zagraniczne raporty wskazuj\u0105 na rosn\u0105cy poziom zagro\u017ce\u0144 i profesjonalizacji atakuj\u0105cych. Ich g\u0142\u00f3wnym motywem s\u0105 korzy\u015bci finansowe. Jednocze\u015bnie ka\u017cda dzia\u0142alno\u015b\u0107 jest w jaki\u015b spos\u00f3b podatna, nawet je\u015bli nie ma jej w otwartym internecie.<\/p>\n

Powi\u0105zania w \u0142a\u0144cuchach dostaw powoduj\u0105, \u017ce firm\u0119 mo\u017cna zaatakowa\u0107 np. przez niezabezpieczony dost\u0119p pracownika poddostawcy. Skutki rozci\u0105gaj\u0105 si\u0119 od utraty reputacji do zamkni\u0119cia dzia\u0142alno\u015bci. Pytanie, na jakie dzisiaj powinni\u015bmy odpowiada\u0107, to czy sta\u0107 nas na niebezpieczne us\u0142ugi i czy ktokolwiek b\u0119dzie chcia\u0142 je kupowa\u0107?<\/p>\n

Czy warto zrobi\u0107 wcze\u015bniej audyt zgodno\u015bci z nowymi wymaganiami?<\/h2>\n

Je\u015bli ju\u017c wiemy, \u017ce nowe wymagania nas obejm\u0105, warto zacz\u0105\u0107 od analizy luk. Innymi s\u0142owy \u2013 trzeba sprawdzi\u0107, kt\u00f3re wymagania ju\u017c mamy zrealizowane, jakie rozwi\u0105zania trzeba dostosowa\u0107, a co zbudowa\u0107 od zera. Wyj\u015bcia s\u0105 dwa.<\/p>\n

Albo mamy sw\u00f3j zesp\u00f3\u0142, kt\u00f3ry podo\u0142a temu zadaniu i sformu\u0142uje wymagania organizacyjne, techniczne i wska\u017ce, w co doposa\u017cy\u0107 nasz dzia\u0142 IT. Albo musimy znale\u017a\u0107 zaufanego partnera, kt\u00f3ry pomo\u017ce nam w tym procesie, oferuj\u0105c pe\u0142n\u0105 opiek\u0119 lub dopasowane do naszych potrzeb komponenty.<\/p>\n

Dodatkow\u0105 warto\u015b\u0107 stanowi to, \u017ce wybrany podmiot zna obecny spos\u00f3b dzia\u0142ania Krajowego Systemu Cyberbezpiecze\u0144stwa i sam b\u0119dzie mu podlega\u0142. Idealny scenariusz to zako\u0144czenie wdro\u017cenia zewn\u0119trznym audytem oraz testami bezpiecze\u0144stwa.<\/p>\n

\u2026 i jak krok po kroku realizowa\u0107 jego cele?<\/h2>\n

Ustawa b\u0119dzie dawa\u0142a jedyne do\u015b\u0107 og\u00f3lne wskaz\u00f3wki, jak zbudowa\u0107 system zarz\u0105dzania bezpiecze\u0144stwem zgodny z ustaw\u0105 KSC. Tak naprawd\u0119 nie ma jednego idealnego scenariusza. Warto zacz\u0105\u0107 od zespo\u0142u, kt\u00f3rego zadaniem b\u0119dzie przeprowadzenie firmy przez zmiany z silnym mandatem zarz\u0105du firmy.<\/p>\n

To niezbywaln\u0105 odpowiedzialno\u015bci\u0105 kierownictwa firmy b\u0119dzie bowiem zapewnienie odpowiednich \u015brodk\u00f3w, szkole\u0144 oraz ko\u0144cowe zatwierdzanie przyjmowanych rozwi\u0105za\u0144.<\/p>\n

Drugim krokiem b\u0119dzie inwentaryzacja zasob\u00f3w oraz kompleksowa analiza ryzyka prowadzona z my\u015bl\u0105 o celach ustawy. To ona da nam odpowied\u017a na pytanie o to, jak wdro\u017cy\u0107 bezpiecze\u0144stwo w firmie i jakie proporcjonalne rozwi\u0105zania wybra\u0107. Implementacji musi towarzyszy\u0107 szczeg\u00f3\u0142owa dokumentacja, bo to o ni\u0105 w pierwszej kolejno\u015bci b\u0119d\u0105 pyta\u0107 kontrolerzy.<\/p>\n

Co czeka sp\u00f3\u017anialskich i firmy, kt\u00f3re zignoruj\u0105 nowe przepisy?<\/h2>\n

Wysoko\u015b\u0107 przewidzianych w nowelizacji ustawy o KSC kar mo\u017ce zwala\u0107 z n\u00f3g. Organy otrzymaj\u0105 te\u017c wiele narz\u0119dzi weryfikacji do sprawdzania zgodno\u015bci. Natomiast, z perspektywy biznesu, nie skupia\u0142bym si\u0119 teraz na potencjalnych grzywnach administracyjnych. Najgorsz\u0105 konsekwencj\u0105 b\u0119dzie bowiem to, \u017ce zaniechania w obszarze bezpiecze\u0144stwa mog\u0105 spowodowa\u0107, \u017ce nasze us\u0142ugi \u2013 niczym samochody bez hamulc\u00f3w \u2013 stan\u0105 si\u0119 niesprzedawalne.<\/p>\n

\u00a0<\/p>\n\n\n\n

\"Piotr<\/figure>
\n

Piotr Kowalski <\/strong>\u2013 manager ds. transformacji w zespole Polityk Publicznych i Spraw Europejskich Orange Polska.<\/p>\n<\/div><\/div>\n\n\n

\n \n
\n \n
\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n <\/div>\n \n
\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n
\n \n\n
<\/div>\n <\/div>\n <\/div>\n<\/div>\n \n\n
\n <\/div>\n <\/div>\n","protected":false},"excerpt":{"rendered":"

Do Krajowego Systemu Cyberbezpiecze\u0144stwa zostan\u0105 zaimplementowane unijne przepisy NIS2. Obejm\u0105 one zdecydowanie wi\u0119ksz\u0105 grup\u0119 firm ni\u017c dotychczas i sporo zmieni\u0105 […]<\/p>\n","protected":false},"author":11,"featured_media":11346,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[159],"tags":[425,477,475,474,481],"class_list":["post-11348","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberbezpieczenstwo","tag-cybersecutity","tag-keajowy-system-cyberbezpieczenstwa","tag-ksc","tag-nis2","tag-wywiad","areas-duze-firmy","areas-male-i-srednie-firmy"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/posts\/11348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/comments?post=11348"}],"version-history":[{"count":13,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/posts\/11348\/revisions"}],"predecessor-version":[{"id":11808,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/posts\/11348\/revisions\/11808"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/media\/11346"}],"wp:attachment":[{"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/media?parent=11348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/categories?post=11348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.orange.pl\/poradnik-dla-firm\/wp-json\/wp\/v2\/tags?post=11348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}