Dyrektywa NIS 2 a sektor MŚP – kto musi się dostosować?

Jeśli prowadzisz firmę z sektora małych i średnich przedsiębiorstw, to warto zwrócić uwagę na wymogi stawiane przez Unię Europejską. W tym wpisie skupimy się z tego względu na dyrektywie NIS2, bo być może pierwszą myślą było: „To nie dla mnie”. Niestety rzeczywistość wygląda inaczej, gdyż również i Ciebie mogą objąć rozwiązania z perspektywy legislacji UE. Nowe przepisy dotyczą nie tylko dużych graczy i operatorów infrastruktury krytycznej. Coraz częściej obejmują również małe, mikro i średnie firmy – szczególnie te, które świadczą usługi dla większych podmiotów albo obsługują branże o znaczeniu strategicznym. W jaki sposób musisz dostosować się do NIS2? Kto podlega dyrektywie? Dowiedz się też nieco więcej o innym rozporządzeniu czyli DORA w artykule pod tym linkiem. Dowiedz się więcej na ten temat właśnie tutaj!

Kogo dotyczy NIS2 i jakie są koszty zgodności?

Nie chodzi tylko o klasyczne firmy IT. Jeśli działasz w sektorze logistycznym, telekomunikacyjnym, medycznym albo produkcyjnym i masz jakikolwiek związek z przetwarzaniem danych, usługami cyfrowymi lub infrastrukturą informatyczną – NIS2 może Cię obejmować. Co więcej, nawet jeśli nie jesteś formalnie uznany za podmiot kluczowy, współpraca z firmą, która już podlega NIS 2, może oznaczać konieczność spełnienia tych samych standardów. Przekłada się to bezpośrednio na obowiązki i wydatki. To jeden z najtrudniejszych tematów. Wdrożenie procedur cyberbezpieczeństwa zgodnych z dyrektywą to nie jest jednorazowy wydatek. To cały proces:

• audyt bezpieczeństwa,

• opracowanie i wdrożenie procedur,

• przeszkolenie personelu,

• zakup nowych systemów IT,

• zatrudnienie lub współpraca z ekspertami ds. cyberbezpieczeństwa.

Tym, co boli najbardziej, jest brak jakiegokolwiek wsparcia ze strony państwa. Nie ma dotacji. Nie ma ulg podatkowych. Były postulaty, żeby wprowadzić ulgę na doradztwo w zakresie cyberbezpieczeństwa, ale jak dotąd nie doczekały się realizacji. W praktyce oznacza to, że koszty ponosisz sam. Często kosztem innych inwestycji, które musisz odłożyć na później.

Audyt NIS 2 – obowiązkowy krok

Jeśli myślisz, że audyt jest opcjonalny, musisz wiedzieć jedno: nie jest. Audyt to pierwszy krok w drodze do zgodności. Bez niego nie określisz, gdzie są luki w systemach, jakie procedury musisz wdrożyć ani jak chronić swoją infrastrukturę przed cyberzagrożeniami. To także nie jest coś, co można zlecić „w całości” zewnętrznemu doradcy. Nawet najlepszy audytor nie przygotuje polityki bezpieczeństwa bez Twojego zaangażowania. Musisz znać strukturę swojej firmy, obieg informacji, zawarte umowy, uprawnienia pracowników. Bez tego żaden system nie będzie działał.

Skonsultuj się w sprawie NIS2 i swojej firmy 

NIS 2 to nie wybór. To obowiązek, który coraz częściej dotyczy także małych i średnich przedsiębiorstw. Audyt zgodności to pierwszy krok. Im szybciej się nim zajmiesz, tym mniejsze ryzyko kar i przestojów w działalności. Jeśli nie chcesz zostać z tym sam – skontaktuj się z nami. Pomożemy Ci przejść przez ten proces tak, by nie zablokować rozwoju Twojej firmy. Nie ma sensu udawać, że problemu nie ma. Jeśli nie jesteś pewien, czy Twoja firma podlega pod dyrektywę NIS 2 – sprawdź to jak najszybciej. Audyt zgodności pozwoli Ci dowiedzieć się, na czym stoisz. Może się okazać, że masz więcej czasu niż myślisz. Ale równie dobrze możesz być już spóźniony. Jeśli nie masz wiedzy technicznej, nie ryzykuj. Zatrudnij specjalistę, który pomoże Ci bezpiecznie przejść przez ten proces. Najlepiej kogoś, kto rozumie nie tylko przepisy, ale też realia MŚP.

Czy NIS2 ma sens i co jeśli się nie dostosujesz?

Tak, ale pod warunkiem że nie zostawia się firm samych z całym ciężarem wdrożenia. Zagrożenia cybernetyczne są jak najbardziej realne. Ataki phishingowe, ransomware, kradzieże danych – to codzienność, z którą trzeba się liczyć. Problem zaczyna się wtedy, gdy państwo wymaga wysokich standardów, ale nie oferuje żadnych narzędzi do ich realizacji. Gdyby ulga na cyberbezpieczeństwo weszła w życie, wiele firm byłoby dziś o kilka kroków dalej. A tak? Zostajesz z tym sam. Tutaj zaczynają się poważne problemy. Brak wdrożenia NIS 2 grozi karą nawet do 10 milionów euro lub 2% rocznego obrotu – w zależności od tego, która kwota jest wyższa. Dla wielu firm z sektora MŚP to mogłoby oznaczać koniec działalności. Zignorowanie przepisów to nie tylko ryzyko finansowe. To także realne zagrożenie wizerunkowe i biznesowe. W przypadku incydentu nie będziesz mógł wykazać, że dochowałeś należytej staranności. A to otwiera furtkę do roszczeń ze strony kontrahentów lub klientów.