Cyberbezpieczeństwo w ostatnich kilku latach stało się tematem, który zaistniał w świadomości nie tylko firm z dziedziny IT czy największych przedsiębiorstw. O zagrożeniach płynących z sieci każdego dnia zdają sobie sprawę nawet niewielkie podmioty. Finałem braku odpowiednich zabezpieczeń może być utrata cennych firmowych danych. Szereg kwestii dotyczących cyberbezpieczeństwa jest regulowanych również na szczeblu międzynarodowym. Przedstawiamy najważniejsze akty prawne, jakie uchwaliła w tym zakresie Unia Europejska.
Dyrektywa NIS2
16 stycznia 2023 roku w życie weszła Dyrektywa NIS2. Państwa członkowskie Unii Europejskiej miały czas na dostosowanie się do niej do 18 października 2024 roku. Celem wprowadzenia nowych przepisów było zapewnienie ciągłości pracy i dostaw w sektorach najważniejszych dla działania gospodarki państw. Znacznie zwiększono liczbę podmiotów, które muszą być przygotowane na cyberataki zarówno pod względem ich zapobiegania, jak też zwalczania skutków, jeśli już wystąpią.
Podmioty objęte dyrektywą podzielono na dwie grupy: kluczowe oraz ważne. W grupie podmiotów kluczowych znalazły się takie gałęzie gospodarki, jak energetyka, transport, opieka zdrowotna, bankowość, czy dostarczanie wody pitnej i odprowadzanie ścieków. Za podmioty ważne dla gospodarki uznano m.in. firmy zajmujące się usługami kurierskimi, produkcją żywności, czy dostawą usług cyfrowych. Aby sprawdzić gotowość firmy do działania zgodnie z wytycznymi Dyrektywy NIS 2, warto przeprowadzić profesjonalny audyt https://www.sprinttech.pl/audyty/dyrektywa-nis-2/. Zadanie warto powierzyć specjalistom z firmy SprintTech https://www.sprinttech.pl/, aby uniknąć dotkliwych kar finansowych płynących z niedotrzymania postanowień rozporządzenia
Rozporządzenie DORA
Audyty mogą okazać się przydatne również w kwestii dostosowania się do innych przepisów Unii Europejskiej https://www.sprinttech.pl/audyty/audyt-w-ramach-innych-formalnych-projektow-cyberbezpieczenstwa/. Przykładem tego jest Rozporządzenie DORA. Obowiązuje ono od 17 stycznia 2025 roku. Zawarto w nim przepisy, których adresatem są nie tylko bezpośrednie podmioty z sektora finansowego, lecz także dostawcy usług ICT na jego użytek. Rozporządzenie DORA poniekąd wymusza n podmiocie dostosowanie do postępującej technologii, a tym samym również do coraz bardziej zaawansowanych metod stosowanych przez hakerów. . Audyt w kontekście rozporządzenia DORA pozwala zweryfikować, czy dana firma jest odpowiednio przygotowana na wystąpienie sytuacji kryzysowej, która mogłaby zagrozić ciągłości działania jej systemów informatycznych. Wyniki takiej analizy pomagają zidentyfikować luki w zabezpieczeniach oraz wdrożyć niezbędne procedury i mechanizmy reagowania. Ma to kluczowe znaczenie, ponieważ zgodnie z Rozporządzeniem DORA, na podmiotach z sektora finansowego ciążą konkretne obowiązki, w tym konieczność właściwego zgłaszania incydentów do odpowiednich instytucji nadzorczych.
Współczesne regulacje unijne nie tylko określają minimalne standardy bezpieczeństwa, ale też wskazują kierunki rozwoju cyfrowej odporności – dlatego warto traktować je nie jako formalność, lecz jako realne wsparcie w budowie bezpieczniejszego biznesu.
