Cyberbezpieczeństwo — regulacje niezbędne, ale w granicach rozsądku
Wdrażanie dyrektywy NIS2 oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to jeden z kluczowych procesów regulacyjnych dla przedsiębiorstw w Polsce i UE. Cyberbezpieczeństwo stało się fundamentem stabilności gospodarczej, jednak coraz częściej pojawiają się pytania o proporcjonalność projektowanych regulacji
Cyberbezpieczeństwo i NIS2: regulacje niezbędne, ale w granicach rozsądku
.
W artykule opublikowanym na łamach „Rzeczpospolitej” zwrócono uwagę, że niektóre rozwiązania – w tym koncepcja dostawcy wysokiego ryzyka (DWR) – mogą prowadzić do decyzji oderwanych od rzeczywistej analizy zagrożeń.
NIS2 i nowelizacja KSC – co zmienia się dla firm?
Nowe regulacje obejmą szeroki katalog podmiotów, w tym firmy z sektora infrastruktury krytycznej, usług cyfrowych, przemysłu oraz wybranych usług biznesowych. Obowiązki obejmują m.in.:
- zarządzanie ryzykiem cybernetycznym,
- raportowanie incydentów,
- wdrażanie procedur bezpieczeństwa IT,
- odpowiedzialność zarządów za zgodność z przepisami.
Dla wielu firm oznacza to konieczność dostosowania procesów, umów i infrastruktury IT.
Ryzyko nadregulacji w cyberbezpieczeństwie
Jak podkreśla Jaromir Ćwikła, bezpieczeństwo cyfrowe jest niezbędne, ale nie powinno być budowane kosztem konkurencyjności i innowacyjności przedsiębiorstw.
Zbyt formalne podejście do klasyfikowania technologii jako „wysokiego ryzyka” może prowadzić do:
- eliminowania dostawców bez indywidualnej analizy,
- wzrostu kosztów compliance,
- ograniczenia dostępu do nowoczesnych rozwiązań technologicznych.
Stanowisko Instigos: bezpieczeństwo oparte na analizie ryzyka
Z perspektywy Instigos kluczowe jest wdrażanie NIS2 w sposób:
- proporcjonalny do rzeczywistego ryzyka,
- oparty na danych i analizach technicznych,
- przewidywalny regulacyjnie dla biznesu,
- zgodny z realiami operacyjnymi przedsiębiorstw.
Cyberbezpieczeństwo powinno chronić działalność gospodarczą, a nie ją paraliżować.