Dyrektywa NIS2, którą Ministerstwo Cyfryzacji chce wdrożyć jeszcze w tym roku, ma wzmocnić odporność państwa i biznesu na cyberataki. Eksperci ostrzegają jednak, że zgodność z przepisami nie równa się bezpieczeństwu – a między paragrafem a praktyką wciąż zieje przepaść.
Nowe obowiązki i stare braki
W zeszłym roku polskie instytucje publiczne i operatorzy infrastruktury krytycznej zgłosili ponad 1600 cyberincydentów. NIS2 ma ten trend zatrzymać, ale jej wdrożenie budzi niepokój. Wielu przedsiębiorców obawia się przeregulowania rynku i kosztów dostosowania systemów. Wojciech Gołębiowski z Palo Alto Networks zauważa, że „ustawa może stworzyć fundament bezpieczeństwa, lecz szczelny mur zbudują dopiero organizacje, które nauczą się wdrażać jej założenia”. Problem w tym, że wiele firm wciąż nie ma do tego ani zasobów, ani świadomości.
Luka między teorią a praktyką
Raport ENISA pokazuje, że różnice w cyfrowej dojrzałości europejskich organizacji są ogromne. Do grona podmiotów objętych dyrektywą dołączą tysiące firm, które nigdy nie musiały spełniać wymogów bezpieczeństwa. Urzędnicy będą więc nadzorować branże, których dopiero się uczą. Obawa przed kosztami i złożonością przepisów sprawia, że niektórzy chcieliby opóźnić wdrożenie. Ale każde przesunięcie w czasie oznacza, że prawo może stać się przestarzałe jeszcze zanim zacznie obowiązywać – w erze, gdy cyberprzestępcy nie czekają na legislację.
Regulacje to nie tarcza
Eksperci przypominają, że formalna zgodność nie powstrzyma ataków. Skuteczność zależy od świadomości, czujności i zasady „zero trust” – nieufności wobec zewnętrznego otoczenia. Bo choć dyrektywy mogą nakreślić ramy, to prawdziwe cyberbezpieczeństwo zaczyna się tam, gdzie kończy się urzędowy formularz.
