Jakie problemy napotykają firmy przy wdrażaniu DORA i NIS2?
Regulacje NIS2 (Dyrektywa o Bezpieczeństwie Sieci i Informacji) oraz DORA (Digital Operational Resilience Act) mają na celu podniesienie poziomu bezpieczeństwa cyfrowego w Unii Europejskiej. Pomimo szczytnych założeń, wdrażanie tych aktów prawnych napotyka na liczne trudności. Główne problemy to brak harmonizacji przepisów na poziomie krajowym i unijnym oraz złożoność regulacji.
Jak wynika z raportu stworzonego przez Europejską Organizację ds. Cyberbezpieczeństwa (ECSO) oraz Instytut Kościuszki, jednym z kluczowych wyzwań jest niejednolitość przepisów w różnych państwach członkowskich. W niektórych krajach obowiązki wynikające z dyrektywy NIS2 zostały transponowane w sposób odmienny, co prowadzi do niezgodności i dodatkowych kosztów dla firm działających transgranicznie.
Raport zwraca uwagę na problem niejasnych definicji zakresu regulacji. Firmy często nie wiedzą, jakie przepisy ich dotyczą oraz jakie kroki muszą podjąć, aby być zgodnymi z regulacjami. Niewystarczająca harmonizacja wymagań dotyczących zgłaszania incydentów stanowi kolejne wyzwanie. Każdy kraj członkowski UE może wymagać od firm innego raportowania, co zwiększa biurokrację i utrudnia zarządzanie ryzykiem.
Ponadto, NIS2 i DORA często nakładają na przedsiębiorstwa obowiązek składania tych samych informacji do różnych organów nadzoru, co jest czasochłonne i kosztowne. ECSO zwraca uwagę na konieczność uproszczenia procesu zgłaszania incydentów oraz ujednolicenia dokumentacji.
Rekomendacje dla firm i państw członkowskich
Aby ograniczyć trudności we wdrażaniu regulacji, autorzy raportu proponują kilka kluczowych działań. Przede wszystkim zalecają stworzenie jednolitych europejskich wytycznych interpretacyjnych, które pomogą firmom zrozumieć, jak spełniać wymagania regulacyjne. Istotne jest także promowanie automatyzacji procesów raportowania i monitorowania zgodności, co pozwoli na zmniejszenie obciążeń administracyjnych.
Raport podkreśla, że małe i średnie przedsiębiorstwa (MŚP) szczególnie odczuwają trudności związane z dostosowywaniem się do nowych przepisów. Dlatego autorzy proponują wdrożenie wsparcia dla MŚP, w tym organizację szkoleń i dostarczanie łatwych w użyciu narzędzi do zarządzania bezpieczeństwem informacji.
Raport „Eliminating Difficulties and Challenges in Implementing Legislative Solutions in the Area of Cybersecurity – DORA, NIS2” został opublikowany po spotkaniu w ramach serii Road to the Polish Presidency, które odbyło się 21 listopada 2024 roku. Dokument powstał we współpracy Europejskiej Organizacji ds. Cyberbezpieczeństwa (ECSO), Instytutu Kościuszki oraz partnerów, takich jak Deloitte i Amazon. Przedstawione rekomendacje mają na celu stworzenie bardziej spójnego i skutecznego podejścia do cyberbezpieczeństwa w UE.
Cały raport znajdziesz TUTAJ.
Zdjęcie: Instytut Kościuszki
