Nadchodzą sądne dni. Polski biznes kontra hakerzy i boty

Tylko do czwartku kraje członkowskie UE mają czas na wdrożenie dyrektywy NIS 2, która ma stanowić swoistą europejską cybertarczę. Problem w tym, że polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) nie zdąży transponować tych regulacji na czas. Przepisy wejdą w życie najwcześniej w 2025 r. Ministerstwo Cyfryzacji (MC) w ubiegłym tygodniu przedstawiło kolejny projekt nowelizacji w tej sprawie. Taka sytuacja może skutkować tym, że Polska będzie musiała zapłacić karę za opóźnienie. Tak było np. ostatnio, gdy nie wdrożyliśmy europejskiego kodeksu łączności elektronicznej.

Eksperci podkreślają jednak, że większym wyzwaniem jest jednak zbudowanie świadomości nowych regulacji wśród przedsiębiorców. Co czeka zatem biznes? Bo zmian nadciąga sporo i nie dotyczą wyłącznie cyberbezpieczeństwa, ale również technologii AI.

Ustawa zwiększy koszty firm

Jak wylicza Jerzy Kozyra, prezes Ambiscale, firmy świadczącej m.in. usługi doradztwa informatycznego, wdrożenie przepisów o KSC będzie oznaczało konieczność zainwestowania w nowe technologie, szkolenia oraz usługi zewnętrzne, co z pewnością zwiększy koszty operacyjne firm.

– Wydatki będą obejmować wdrożenia zaawansowanych systemów monitorowania i ochrony danych oraz szkolenia pracowników z zakresu nowych regulacji, a nawet zatrudnienie nowych specjalistów.

Jednakże, w dłuższej perspektywie, ustawa ta ma szansę znacząco poprawić poziom bezpieczeństwa cyfrowego, ograniczając ryzyka związane z atakami i budując zaufanie klientów – wyjaśnia.

Jego zdaniem, choć ustawa o KSC jeszcze nie została przyjęta, firmy nie powinny odkładać kwestii związanych z cyberbezpieczeństwem na później. – Cyberzagrożenia nie czekają na uchwalenie nowych przepisów – zaznacza.

Implementacja NIS 2 nad Wisłą może mieć jednak i negatywne skutki. Polsko-Chińska Główna Izba Gospodarcza SinoCham alarmuje, iż polski przemysł może w konsekwencji ponieść dodatkowe 2 mld euro kosztów związanych z wdrożeniem wymogów legislacyjnych, a jak zauważają analitycy firmy konsultingowej Frontier Economics, konsekwencją będzie zmniejszenie polskiego eksportu do krajów spoza UE o 2,9 mld euro. Efekt? – W ciągu najbliższych dziesięciu lat nasz PKB utraci 10 mld euro – przestrzega SinoCham.

Ale zwolennicy NIS 2 też mają swoje argumenty. Przekonują, że kluczowa korzyść z tych regulacji to fakt, że wymusza ona na przedsiębiorstwach wnikliwą analizę obecnego poziomu bezpieczeństwa i obliguje do zidentyfikowania obszarów wymagających poprawy. – W ub.r. trzy na cztery badane globalne podmioty padły ofiarą ataku ransomware, a rekordziści zostali zaatakowani aż sześć razy w ciągu roku. Cyberatak to już nie kwestia „kiedy”, a „ile razy”. Zasadność zwiększania poziomu cyberbezpieczeństwa w przedsiębiorstwie nie powinna być w ogóle kwestionowana – tłumaczy Tomasz Krajewski, dyrektor w Veeam.

Groźny dług cyberbezpieczeństwa

Nowelizacja ustawy o KSC dotknie m.in. szeroko pojęty sektor produkcyjny (chemikalia, żywność), sektor opieki zdrowotnej czy usług kurierskich. W szczególności dostosowanie do wymagań będzie wyzwaniem dla firm, które nie zajmowały się cyberbezpieczeństwem w sposób systemowy oraz potencjalnie dla średniej wielkości podmiotów, które mają mniejsze budżety. Opór wielu z nich nie dziwi. Marcin Ludwiszewski, członek AI Chamber i współzałożyciel start-upu 1Strike.io, wyjaśnia, iż firmy te skupiają się przede wszystkim na krótkoterminowych celach: utrzymaniu i rozwoju swoich usług oraz produktów. Cyberbezpieczeństwo, które często traktowane jest jako dodatkowych koszt, który nie przynosi bezpośrednich korzyści dla spółki, nie jest tam priorytetem. – Wynika to z niskiej świadomości i wiedzy w zakresie cyberzagrożeń, ale też z ograniczonych zasobów, które sprawiają, że dług cyberbezpieczeństwa rośnie, narażając firmy na poważne konsekwencje ataków, które mogą prowadzić do utraty danych, naruszenia prywatności oraz strat finansowych. Spłata długu cyberbezpieczeństwa wynikającego z wieloletnich zaniedbań będzie procesem czasochłonnym i kosztownym dla całej gospodarki – komentuje Ludwiszewski.

Jak dodaje, w dłuższej perspektywie inwestycja w cyberbezpieczeństwo okaże się jednak bardziej opłacalna niż koszty związane z naprawą skutków ataku.

Czy takie korzyści przyniesie również ustawa, jaką szykuje resort cyfryzacji, w kontekście sztucznej inteligencji? Tego na razie nie wiadomo. Implementacja dyrektywy AI Act, która weszła w życie w sierpniu, w założeniu ma pomóc w odpowiedzialnym rozwoju i wdrażaniu sztucznej inteligencji w UE.