Choć unijne rozporządzenie RODO obowiązuje już od niemal siedmiu lat, w wielu polskich firmach nadal panuje niepewność co do prawidłowego wdrożenia przepisów. Jak pokazują dane, nieprzestrzeganie norm w zakresie ochrony danych osobowych niesie za sobą nie tylko ryzyko wizerunkowe, ale przede wszystkim finansowe. A na horyzoncie pojawia się kolejna regulacja – ustawa o Krajowym Systemie Cyberbezpieczeństwa – która może znacząco rozszerzyć zakres odpowiedzialności organizacji.
RODO – nadal wyzwanie dla biznesu
Ogólne rozporządzenie o ochronie danych (RODO) zostało uchwalone przez Parlament Europejski w 2016 roku, a jego przepisy weszły w życie dwa lata później, również w Polsce. Przedsiębiorstwa miały zaledwie dwa lata na dostosowanie swoich systemów i procedur do nowych wymagań. Jak się okazało, był to proces trudniejszy, niż zakładano.
Już pierwsze lata obowiązywania przepisów przyniosły wysokie kary finansowe – przykładem może być decyzja Prezesa UODO z końca 2019 roku wobec Virgin Mobile, kiedy nałożono niemal 2 miliony złotych grzywny (ostatecznie 1,6 mln zł). Z roku na rok regulator coraz chętniej sięga po sankcje – tylko w 2024 roku łączna wartość kar przekroczyła 14 mln złotych. Najwyższa z nich wyniosła ponad 4 mln zł i stanowiła niemal 30% wszystkich grzywien z danego roku.
– Regulacje prawne to istotny aspekt cyberbezpieczeństwa w Polsce i Europie. Przepisy wspierające ochronę danych i reakcje na cyberataki potrafią być trudne do implementacji, ale stanowią systemowy fundament. O trudnościach we wdrożeniu regulacji przez firmy świadczą nałożone kary. Okazuje się również, że 80% przypadków nakładanych kar dotyczy podmiotów prywatnych, a 20% administracji publicznej i państwowej – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Co trzecia firma niepewna swoich procedur
Z opublikowanego przez ESET i DAGMA Bezpieczeństwo IT raportu „Cyberportret polskiego biznesu” wynika, że aż 32% firm nie ma pewności, czy wdrożone przez nie procedury zgodne są z RODO. Jednocześnie niemal 70% respondentów uważa, że ich organizacja skutecznie dostosowała się do wymagań przepisów. Taka rozbieżność może wynikać z różnic w skali działalności firm oraz poziomie profesjonalizacji ich działów IT i compliance.
– Z drugiej strony obserwujemy, że nastawienie wobec przepisów jest zależne od wielkości firmy. W przypadku firm liczących od 51 do 250 pracowników, jak i tych z ponad 250 osobami w kadrze właściwe wdrożenie rozwiązań wynikających z RODO deklaruje 71% badanych. Ale w segmencie małych przedsiębiorstw odsetek ten spada do blisko połowy (51%). W przypadku mniejszych przedsiębiorstw wdrożenie procedur i rozwiązań wynikających z RODO mogło wiązać się ze stosunkowo dużym jednostkowym kosztem oraz niejasnością we właściwej implementacji przepisów, podczas gdy w większych firmach proces ten został przeprowadzony systemowo – dodaje Kamil Sadkowski.
Z badania wynika również, że 68% organizacji twierdzi, iż opracowało wewnętrzne procedury dotyczące ochrony danych osobowych. Wśród nich dominuje podejście zakładające ograniczony dostęp do wrażliwych informacji oraz ich zabezpieczenie przed dostępem osób nieuprawnionych.
– W niemal 2/3 firm deklaruje się transparentność w zbieraniu i przetwarzaniu danych osobowych klientów i kontrahentów oraz stosowanie ograniczonego i dodatkowo zabezpieczonego dostępu pracowników do firmowych zasobów zawierających dane szczególnej kategorii. – Zastanawiać może, że około 1/3 respondentów nie postrzega swojego pracodawcy jako firmy przestrzegającej kwestii związanych z RODO – wskazuje Kamil Sadkowski.
Nowe przepisy: KSC i unijna dyrektywa NIS2
Podczas gdy część firm wciąż nie radzi sobie z wdrażaniem obowiązującego od lat rozporządzenia RODO, w lutym 2025 roku opublikowano nową wersję projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. To krok w stronę implementacji unijnej dyrektywy NIS2, która nakłada na przedsiębiorstwa nowe obowiązki w zakresie zabezpieczeń i reagowania na incydenty.
Zgodnie z projektem, za niedopełnienie obowiązków z KSC podmioty kluczowe – takie jak administracja, energetyka czy sektor zdrowia – mogą zostać ukarane grzywną w wysokości do 10 mln euro lub 2% rocznego przychodu. W przypadku podmiotów ważnych, kary sięgną 7 mln euro lub 1,4% przychodów.
– Zwróciłbym uwagę na fakt, że o ile w przypadku pierwszej grupy mówimy o najważniejszych, krytycznych podmiotach, o tyle w drugiej grupie znajdzie się wiele przedsiębiorstw z branż takich jak: IT, usługi pocztowe, kurierskie, przedsiębiorstwa gospodarujące odpadami, produkcja i dystrybucja żywności, produkcja urządzeń elektrycznych czy produkcja samochodów oraz sprzętu transportowego. Regulacja NIS (poprzedniczka NIS2) spowodowała szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród trzech obszarów, które uważamy za kluczowe w tym kontekście, należy wymienić: właściwe zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty cyberbezpieczeństwa. – komentuje Kamil Sadkowski.
Przyszłość pod znakiem transformacji bezpieczeństwa cyfrowego
W obliczu rozszerzającego się katalogu obowiązków regulacyjnych firmy muszą podejść do kwestii cyberbezpieczeństwa w sposób strategiczny. Choć dane z raportu ESET i DAGMA pokazują rosnącą świadomość w zakresie ochrony danych, niepokojąca pozostaje skala niepewności co do poprawności wdrożeń.
Nadchodzące zmiany legislacyjne mogą – podobnie jak wcześniej RODO – stać się impulsem do modernizacji systemów, procedur i kompetencji. Czas pokaże, które firmy potraktują je jako szansę, a które będą musiały się mierzyć z konsekwencjami zaniedbań.
źródło: informacja prasowa
Dodaj komentarz