NIS2 to jak dotąd najbardziej rozbudowana dyrektywa w zakresie cyberbezpieczeństwa w Europie. Wprowadza rygorystyczne wymogi w zakresie analizy ryzyka, obsługi incydentów, audytów i edukacji zwiększającej cyfrowe bezpieczeństwo organizacji. Nowa dyrektywa dużo uwagi poświęca obowiązkom sprawozdawczym, ocenie ryzyka dla bezpieczeństwa łańcuchów dostaw oraz stosowania europejskich systemów certyfikacji cyberbezpieczeństwa.

Dyrektywa NIS2 (Network and Information Systems Directive 2) to unijne przepisy dotyczące cyberbezpieczeństwa. Weszły w życie w 2023 roku i mają na celu zwiększenie ogólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej. Dyrektywa nakłada na przedsiębiorstwa obowiązki wzmacniające odporność na cyberzagrożenia, związane głównie z zarządzaniem ryzykiem, zgłaszaniem incydentów, ochroną systemów IT i zapewnieniem ciągłości działania.

Dyrektywa NIS2 obejmuje szeroką grupę organizacji, zarówno ze względu na wielkość jak i na rodzaj/zakres działalności. Jeśli chodzi o próg wielkości przedsiębiorstwa, dyrektywa jest jasna: ma ona zastosowanie do podmiotów, które spełniają lub przekraczają progi dla średnich przedsiębiorstw*. W związku z tym mikroprzedsiębiorstwa i małe przedsiębiorstwa są zasadniczo wyłączone z jego zakresu, chyba że zostaną uznane za podmiot kluczowy lub ważny.

✳️Zgodnie z definicją podaną przez Eurostat małe przedsiębiorstwa definiuje się jako podmioty zatrudniające mniej niż 50 pracowników i osiągające roczny obrót nie przekraczający 10 mln euro. Z kolei przedsiębiorstwa średniej wielkości definiuje się jako zatrudniające maksymalnie 250 pracowników i osiągające roczne obroty nie większe niż 50 mln euro. Ponadto za mikroprzedsiębiorstwa uznaje się podmioty zatrudniające mniej niż 10 pracowników i których roczny obrót nie przekracza 2 mln euro.

Oprócz kryterium wielkości, NIS 2 wprowadza w miejsce dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych (NIS1) podział na dwie, nowe kategorie:

Podmioty kluczowe są to podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki, których działanie ma bezpośredni wpływ na stabilność i bezpieczeństwo społeczne i gospodarcze. Dyrektywa NIS2 wskazuje 10 sektorów kluczowych, w których działają podmioty kluczowe:

Prowadzenie działalność w ramach ww. Sektorów to nie jedyne kryterium, uznania podmiotu za kluczowy. Drugim kryterium jest wielkość, wg. którego podmiotami kluczowymi będą (z pewnymi wyjątkami) podmioty duże (zatrudnienie powyżej 250 osób, obroty roczne powyżej 50 mln euro).

Podmioty ważne to takie, których działalność na istotny wpływ na funkcjonowanie gospodarki UE oraz w dużej mierze pozostają zależne od bezpieczeństwa sieci i systemów informatycznych. Innymi słowy, jeśli ich sieci lub systemy informatyczne zostaną naruszone lub zaatakowane, może to mieć poważne konsekwencje nie tylko dla samej firmy, ale także dla szerszej społeczności. Podmiotami ważnymi są podmioty średnie działające we wskazanych wyżej sektorach kluczowych oraz podmioty średnie lub duże działające w sektorach ważnych czyli:

Dyrektywa NIS2 oficjalnie weszła w życie 16 stycznia 2023 roku. Zgodnie z postanowieniami tej dyrektywy, państwa członkowskie Unii Europejskiej zobowiązane są do wdrożenia nowych przepisów do swojego krajowego porządku prawnego, na przykład poprzez ustanowienie odpowiednich ustaw. Termin na dokonanie implementacji tych nowych wymagań upływa 17 października 2024 roku.

24 kwietnia polskie Ministerstwo Cyfryzacji zaprezentowało projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma na celu wdrożenie dyrektywy NIS2 i wzmocnienie odporności na cyberzagrożenia. Jest to szczególnie istotne, ponieważ obecnie Polska jest w czołówce najczęściej atakowanych w cyberprzestrzeni państw NATO.

Nowelizacja ustawy o KSC polega w szczególności na:

*Źródło: https://www.gov.pl/web/premier/projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw3

W projektowanej regulacji podstawą ma być mechanizm samoidentyfikacji – podmioty kluczowe i ważne będą zobowiązane zarejestrować się w nowym systemie (np. poprzez stronę internetową). Umożliwi to identyfikację firm podlagających dyrektywie,  wsparcie ich przez zespoły CSIRT oraz zapewni możliwość nadzoru przez organy właściwe do spraw cyberbezpieczeństwa.

NIS2 stanowi, że należy przyjąć środki bezpieczeństwa w celu zarządzania ryzykiem stwarzanym dla bezpieczeństwa sieci i systemów informatycznych oraz ograniczania tego ryzyka, zapobiegania incydentom i minimalizowania ich skutków (Art. 21 ust. 2 dyrektywy zawiera szczegółowy wykaz minimalnych środków, które podmioty muszą przyjąć).

Wymagane środki bezpieczeństwa cybernetycznego obejmują:

Zgodnie z nowelizacją ustawy o KSC podmioty kluczowe i ważne będą zobowiązane do wprowadzenia systemu zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług. Za realizację tych zadań będzie odpowiedzialny kierownik podmiotu kluczowego lub ważnego, który będzie musiał odbyć odpowiednie szkolenia z zakresu cyberbezpieczeństwa. Obowiązkowe nadal będzie przeprowadzanie audytu bezpieczeństwa systemów informacyjnych co dwa lata. Podmioty objęte KSC będą zobligowane do korzystania z systemu S46, służącego do komunikacji i wymiany informacji o  incydentach, cyberzagrożeniach i podatnościach.

Żródło: https://www.gov.pl/web/cyfryzacja/ministerstwo-cyfryzacji-zaprezentowalo-projekt-ustawy-o-krajowym-systemie-cyberbezpieczenstwa

W art. 34 dyrektywy NIS 2 wprowadzono system sankcji, który przewiduje wysokie kary za nieprzestrzeganie obowiązków wynikających z dyrektywy, podobnie jak ma to już miejsce w przypadku RODO. Z kolei poprzednia dyrektywa upoważniała państwa członkowskie do przyjmowania przepisów zgodnie z regulacjami krajowymi i nakładała ogólny wymóg, aby środki te były skuteczne, przekonujące i odstraszające. Jak wspomniano powyżej, kary za nieprzestrzeganie dyrektywy w sprawie bezpieczeństwa sieci i informacji różniły się znacznie w poszczególnych państwach członkowskich zarówno pod względem cech, jak i surowości.

SAP stale obserwuje zmiany regulacyjne mające wpływ na podmioty kluczowe lub ważne oraz usługi SAP. SAP współpracuje z organami nadzoru, konsultantami i ekspertami branżowymi w celu identyfikacji i spełnienia wymagań NIS2 w ramach działań na rzecz zgodności z przepisami. SAP stosuje najlepsze praktyki w zakresie bezpieczeństwa, by zapewnić klientom wysoką odporność na cyberataki oraz zgodność z wymaganiami NIS2.

Niezależnie od tego, czy NIS2 ma bezpośrednie zastosowanie w Twojej organizacji, system ERP jest kluczowym elementem cyfrowej transformacji biznesowej i musi być bezpieczny, aby firma mogła działać sprawnie i bez zakłóceń. Cyberataki są coraz częstsze, więc zabezpieczenie aplikacji jest niezbędne, nie tylko ze względu na przepisy NIS2, ale dla ogólnego bezpieczeństwa firmy. SAP Business One, jako system ERP (Enterprise Resource Planning) używany przez małe i średnie przedsiębiorstwa, również musi być zgodny z wymaganiami NIS2.

SAP podejmuje działania, aby zapewnić zgodność swoich systemów, w tym SAP Business One, z wymaganiami dyrektywy NIS2 oraz innymi przepisami dotyczącymi cyberbezpieczeństwa. Oto niektóre z kluczowych inicjatyw i funkcji, które SAP wprowadza, aby dostosować swoje produkty do tych wymagań:

SAP podejmuje szereg działań, aby zapewnić, że SAP Business One jest zgodny z dyrektywą NIS2 oraz innymi przepisami dotyczącymi cyberbezpieczeństwa. Te inicjatywy obejmują zarówno techniczne środki ochrony, jak i procedury organizacyjne, które pomagają firmom skutecznie zarządzać ryzykiem i chronić swoje systemy oraz dane.

Podsumowując, dyrektywa NIS2 jest częścią unijnego prawa mającego na celu wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej. NIS2 nakłada nowe obowiązki zarówno na duże firmy, jak i część sektora MŚP, z wyłączeniem małych i mikroprzedsiębiorstw (pod warunkiem, że nie są one uznane za „podmioty kluczowe”  lub „ważne”). Należy podkreślić, że dyrektywa NIS2 musi jeszcze zostać wdrożona przez państwa członkowskie na szczeblu krajowym, zgodnie z wymogami prawa europejskiego.

22 lipca SAP SE ogłosił swoje wyniki finansowe za drugi kwartał, zakończony 30 czerwca 2024 r. Dynamika rozwoju chmury utrzymała się na wysokim, ponad 25% poziomie, co oznacza, że SAP konsekwentnie realizuje prognozy na 2024 rok.

Dyrektor generalny SAP Christian Klein oraz dyrektor finansowy Dominik Asam przedstawili dane finansowe za drugi kwartał, a także perspektywy na bieżący rok finansowy.

W drugim kwartale dynamika rozwoju naszej chmury pozostała silna, a biznesowa sztuczna inteligencja umożliwiła wiele transakcji. Kontynuujemy naszą transformację z dużą dyscypliną, co prowadzi do zwiększenia naszych ambicji w zakresie zysku operacyjnego w 2025 roku. Jednocześnie nadal inwestujemy w naszą transformację, aby stać się liderem w dziedzinie sztucznej inteligencji biznesowej. Biorąc pod uwagę nasze postępy i silny portfel, jesteśmy przekonani, że osiągniemy szybszy wzrost przychodów do 2027 roku – Christian Klein, dyrektor generalny SAP SE

Nadal koncentrujemy się na realizacji naszych prognoz na ten rok. Nasz obecny wzrost backlogu w chmurze w drugiej połowie 2024 r., a zwłaszcza w IV kwartale, będzie miał decydujące znaczenie dla stworzenia solidnych podstaw dla naszych ambicji w zakresie przychodów z chmury na 2025 r. Jednocześnie będziemy nadal realizować nasz plan transformacji, aby osiągnąć nasze ambicje w zakresie wolnych przepływów pieniężnych do 2025 r., pomimo trzycyfrowej gotówki w milionach na restrukturyzację, która rozleje się na przyszły rok– Dominik Asam, Dyrektor Finansowy SAP SE

Ostatnia globalna awaria Microsoftu spowodowała przerwy w dostępie do kluczowych usług, co miało wpływ na firmy na całym świecie. Sytuacja ta uwidoczniła również ryzyka związane z uzależnieniem od jednego dostawcy chmury. Tego typu incydenty pokazują, jak krytyczne jest posiadanie stabilnych i niezawodnych rozwiązań IT, w tym systemów ERP, które zapewniają ciągłość operacyjną, nawet w obliczu zewnętrznych zakłóceń. Ponieważ doszło do awarii na taką skalę, niektóre firmy mogą nadal obawiać się przeniesienia swoich danych do chmury. W związku z obawami wielu przedsiębiorców, że podobna sytuacja może się powtórzyć, alternatywą w przypadku ERP może być model on-premise.  

Awaria usług chmurowych Microsoftu pokazuje, jak poważne skutki i wysokie koszty mogą wynikać z zakłóceń w dostępie do systemów informatycznych i kluczowych danych. Tego typu sytuacje, podobnie jak np. ataki hakerskie, powodują, że część firm nadal ma ograniczone zaufanie do rozwiązań chmurowych. Mimo wielu zalet chmury, takich jak elastyczność, skalowalność, czy niższy próg wejścia, wiele firm planujących wdrożenie ERP, nadal rozważa alternatywne opcje. W przypadku rozwiązań ERP, czyli systemów które są kluczowe w zarządzaniu zasobami i danymi przedsiebiorstwa, pojawia się pytanie, czy nie lepszym wyborem będzie model on-premise. 

Systemy ERP on-premise mogą być bardziej niezawodne, ponieważ nie są zależne od zewnętrznych dostawców usług, którzy mogą doświadczyć problemów technicznych lub stać się celem cyberataków. Dzięki lokalnej infrastrukturze firmy mają większą kontrolę nad swoimi danymi. Jednak utrzymanie własnej infrastruktury IT, zapewnienie odpowiedniego poziomu bezpieczeństwa i ochrony przed zagrożeniami zewnętrznymi, może generować wysokie koszty. Wybór między rozwiązaniem on-premise a chmurą, powinien więc być dobrze przemyślany, uwzględniając specyficzne potrzeby i zasoby firmy. 

Jeśli chcesz dowiedzieć się więcej na temat różnic między on-premise a cloud, zapraszamy do zapoznania się z naszym artykułem [https://altab.pl/sap-business-one/on-premise-czy-cloud/). 

SAP Business One zdecydowanie wyróżnia się na rynku systemów ERP, ponieważ jest dostępny zarówno w modelu cloud, jak i On-Premise. Klienci planujący wdrożenie systemu ERP mają więc wybór. Mogą zdecydować się na rozwiązanie chmurowe, które eliminuje konieczność inwestowania w infrastrukturę IT i odpowiedzialność za bezpieczeństwo danych przenosi na dostawce chmury, lub na wersję on-premise, która umożliwia pełną kontrolę nad danymi i środowiskiem IT. 

Warto pamiętać, że decyzja o wyborze chmury czy on-premise nie jest ostateczna. Praktycznie w każdej chwili można przemigrować dane z chmury na własne środowisko IT i odwrotnie, środowisko in-house do chmury. 

Dlaczego firmy wybierają SAP Business One on-premise? 

SAP Business One w wersji on-premise oferuje kilka kluczowych zalet: 

SAP Business One w wersji on-premise działa na lokalnej infrastrukturze, co zapewnia ciągłość działania i redukuje ryzyko związane z awariami zewnętrznymi. W przypadku awarii podobnych do tej, która dotknęła Microsoft, rozwiązania on-premise na serwerach lokalnych mogą nadal funkcjonować bez zakłóceń.  

Należy jednak pamiętać, że model on-premise wiąże się z kosztami zakupu i utrzymania infrastruktury IT oraz odpowiedzialnością za jej bezpieczeństwo. Każda firma musi więc dokładnie ocenić swoje potrzeby i zasoby, aby wybrać najlepsze rozwiązanie. 

Kluczowym aspektem jest również wybór zaufanego dostawcy, który zapewni bezpieczeństwo systemu i danych. SAP jako globalny lider w dziedzinie rozwiązań ERP, stawia na najwyższe standardy bezpieczeństwa swoich produktów. SAP Business One jest nieustannie doskonalony nie tylko pod względem funkcjonalnym i użytkowym [zobacz najnowszą mapę rozwoju: https://altab.pl/road-map/], ale również pod względem bezpieczeństwa. Mechanizmy zarządzania tożsamością i uwierzytelnianiem, takie jak IAM (Identity and Access Management), pełny log dostępu i zmian w systemie, czy narzędzia do zarządzania danymi osobowymi, zwiększają poziom bezpieczeństwa i redukują ryzyko potencjalnych ataków.  

Dodatkową warstwę wsparcia i zabezpieczenia zapewnia RSP (Remote Support Platform). RSP jest integralną częścią ekosystemu SAP Business One, zapewniającą proaktywne zarządzanie systemem, co minimalizuje ryzyko niespodziewanych awarii i przestojów. RSP umożliwia zdalne monitorowanie, diagnozowanie i utrzymywanie systemu, wspiera procesy tworzenia kopii zapasowych i przywracania danych, co jest kluczowe dla strategii disaster recovery. 

Ostatnia globalna awaria usług chmurowych Microsoftu była poważnym sygnałem ostrzegawczym dla firm na całym świecie, pokazując, jak zakłócenia w dostępie do systemów informatycznych mogą wpływać na działalność biznesową. W wyniku tego incydentu wiele firm ponownie zaczęło lub zacznie oceniać swoje strategie IT, zastanawiając się nad bezpieczeństwem i niezawodnością swoich rozwiązań informatycznych i systemów ERP. Firmy, które dopiero stoją przed wyborem systemu ERP, powinny zwracać szczególną uwagę na możliwość zapewnienia ciągłości operacyjnej i ochrony przed zewnętrznymi zagrożeniami. 

SAP Business One, dzięki swojej elastyczności i zaawansowanym funkcjom bezpieczeństwa, stanowi niezawodne rozwiązanie dla firm poszukujących stabilności i bezpieczeństwa w zarządzaniu swoimi zasobami. Jednak każda firma musi dokładnie przeanalizować swoje potrzeby i możliwości, aby wybrać rozwiązanie najlepiej dopasowane do swoich wymagań – czy to będzie system on-premise, czy chmurowy. Kluczowe jest, aby wybierać sprawdzone rozwiązania o solidnych podstawach, które gwarantują odporność na zewnętrzne zagrożenia i zapewniają ciągłość oraz bezpieczeństwo działalności biznesowej.

Zdajemy sobie sprawę, że wybór pomiędzy on-premise a cloud nie jest prosty, szczególnie gdy do wyboru są jeszcze inne opcje, jak np. kolokacja serwera czy hosting. Zapraszamy do kontaktu, a pomożemy dobrać rozwiązanie najlepiej dopasowane do Państwa potrzeb.