NIS 2 – duże wyzwanie, wciąż czekamy na finalne przepisy
Unijna dyrektywa NIS 2 miała zostać wdrożona w Polsce w październiku 2024 r., dostosowując krajowy system prawny do nowych wymagań w zakresie cyberbezpieczeństwa. Jednak proces legislacyjny postępuje wolniej niż zakładano, a organizacje – zarówno publiczne, jak i prywatne – wciąż oczekują na finalne regulacje. Brak jasnych wytycznych rodzi pytania: czy firmy są gotowe na nadchodzące zmiany, czy raczej wstrzymują działania, czekając na ostateczny kształt przepisów?
Choć dyrektywa ma na celu zwiększenie odporności na cyberzagrożenia, niepewność związana z jej wdrożeniem może stanowić wyzwanie dla organizacji, które chcą odpowiednio przygotować swoje procedury i systemy. Eksperci podkreślają, że wcześniejsze działania mogą pomóc w sprawnym dostosowaniu się do nowych wymagań, gdy te zostaną ostatecznie przyjęte.
Jakie konsekwencje niesie ze sobą opóźnienie we wdrażaniu NIS 2? Czy firmy powinny już teraz podejmować działania? O tym wszystkim dr Marta Mackiewicz rozmawia z Krzysztof Dyki, prezesem ComCERT SA, w najnowszym artykule na android.com.pl.
Artykuł opublikowany 25.02.2025 na portalu Android.
FAQ
Czym jest dyrektywa NIS 2 i jaki ma cel?
Dyrektywa NIS 2 to unijne przepisy dotyczące cyberbezpieczeństwa, mające na celu zwiększenie poziomu odporności organizacji – zarówno publicznych, jak i prywatnych – na cyberzagrożenia poprzez m.in. obowiązek zarządzania ryzykiem ICT, zgłaszanie incydentów i testowanie odporności systemów.
Dlaczego wdrożenie NIS 2 w Polsce się opóźnia?
Proces legislacyjny wdrożenia NIS 2 w Polsce został znacząco wydłużony z powodu szerokiej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz licznych uwag konsultacyjnych zgłoszonych do projektu, co spowolniło prace nad ustawą.
Co oznacza brak jasnych regulacji dla organizacji?
Organizacje nie mają jeszcze ostatecznie sformułowanych wytycznych, co powoduje, że wiele z nich wstrzymuje konkretne działania dostosowawcze, obawiając się kosztów i niepewności co do ostatecznego kształtu przepisów.
Czy firmy już podejmują działania przygotowawcze?
Tak, chociaż proaktywność w przygotowaniach jest stosunkowo niska. Niektóre instytucje – szczególnie te objęte innymi rygorystycznymi regulacjami, np. z sektora finansowego – rozpoczynają prace nad wdrażaniem wymagań, które są już stabilne w projekcie.
Jakie organizacje wykazują największe zainteresowanie NIS 2?
Największe zainteresowanie dotyczy instytucji finansowych i telekomunikacyjnych, które analizują wymogi dyrektywy i starają się łączyć je z innymi regulacjami bezpieczeństwa, choć często wciąż bardziej się „przyglądają” niż podejmują konkretne działania.
Co jest jednym z najbardziej problematycznych obszarów w projekcie NIS 2?
Kluczową trudnością pozostaje brak jednoznacznej definicji i sposobu klasyfikacji tzw. vendorów wysokiego ryzyka, co wpływa na koszty i obowiązki związane z dostosowywaniem się podmiotów do nowych wymogów.
Czy organizacje inwestują w cyberbezpieczeństwo niezależnie od NIS 2?
Tak – wiele organizacji zwiększa poziom inwestycji w cyberbezpieczeństwo, ale często są to działania ogólne, odpowiedzi na realne zagrożenia lub inne przepisy, niekoniecznie bezpośrednio związane z samą dyrektywą NIS 2.
Jak wygląda przygotowanie sektora publicznego w porównaniu z prywatnym?
Organizacje publiczne są oczekiwane, aby wykazywały większy rygoryzm w implementacji regulacji, ale w praktyce zarówno sektor publiczny, jak i prywatny nadal czeka na stabilizację przepisów, zanim podejmą szeroko zakrojone działania dostosowawcze.
Czy brak wdrożenia NIS 2 oznacza, że nie ma działań na rzecz bezpieczeństwa?
Nie. Choć finalna legislacja jeszcze nie została przyjęta, wiele organizacji stara się podnosić poziom cyberbezpieczeństwa ogólnie oraz łączyć już istniejące wymagania regulacyjne z przewidywanymi w NIS 2.
Co może przyspieszyć wdrożenie przepisów?
Ostateczny kształt i termin wdrożenia zależą od prac legislacyjnych, które są skomplikowane i wymagają uzgodnień między różnymi interesariuszami. Dopóki te prace nie zostaną zakończone, firmy pozostają w niepewności co do obowiązków wynikających z NIS 2.
07.01.2026