Już za niespełna rok czasu, dnia 17 października 2024 r. upłynie termin implementacji nowych obowiązków z zakresu cyberbezpieczeństwa. Polski ustawodawca musi do wskazanej daty przyjąć zapisy aktu prawnego UE, który to wprowadza rewolucję w zakresie cyberbezpieczeństwa tj. dyrektywa NIS2. Rewolucję adekwatną do tej jaką zaserwowano nam przy wdrożeniu regulacji z zakresu ochrony danych osobowych tzw. RODO.

Mocą wskazanej dyrektywy podmioty zdefiniowane jako niezbędne oraz istotne takie jak m.in.:

• Podmioty administracji publicznej na szczeblu regionalnym;
• Podmioty odpowiedzialne za gospodarowanie odpadami;
• Podmioty odpowiedzialne za zbieranie, odprowadzanie lub oczyszczanie ścieków komunalnych.

Zostaną zobowiązane do realizacji następujących czynności:

• wdrożenia polityki bezpieczeństwa systemów informatycznych;
• wdrożenia procedur przeprowadzania regularnej analizy ryzyka z zakresu cyberbezpieczeństwa;
• obsługi incydentów z zakresu cyberbezpieczeństwa;
• ciągłości działania i zarządzania kryzysowego;
• bezpieczeństwa łańcucha dostaw;
• bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych;
• procedur weryfikacyjnych służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa przy pomocy dedykowanych audytów;
• wykorzystywania kryptografii oraz szyfrowania przy bieżącej działalności.

Sankcje przewidziane za brak wypełnienia przewidzianych w dyrektywie NIS2 obowiązków, mają wynosić maksymalnie co najmniej 10000000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa, czyli podobne do tych, które są nam już dobrze znane z regulacji RODO.