Wraz z wejściem w życie dyrektywy NIS2, wiele przedsiębiorstw w Unii Europejskiej zostało zobligowanych do wdrożenia zaawansowanych rozwiązań bezpieczeństwa informatycznego, aby sprostać nowym wymogom regulacyjnym. Szczególnie restrykcyjne wyzwania stanęły przed branżami krytycznymi, jak transport i infrastruktura. Dla ZUE S.A., firmy z sektora budownictwa kolejowego i miejskiej infrastruktury szynowej, kluczowe stało się zabezpieczenie ciągłości działania oraz spełnienie norm bezpieczeństwa określonych przez dyrektywę.
Wpływ na działalność biznesową
NIS2 przewiduje znaczące kary finansowe wynikające z naruszeń związanych z cyberbezpieczeństwem. Maksymalna wysokość kar może sięgać do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotów w przypadku niezbyt poważnych incydentów. W sytuacji gdy dojdzie do poważnych naruszeń, kary mogą sięgać nawet do 20 000 000 EUR lub 4% całkowitego rocznego obrotu firmy.
Tymczasem według danych EY 25 proc. firm nie ma świadomości, że dyrektywa ich dotyczy. Co więcej, 32 proc. przedsiębiorstw nie zwiększy swojego budżetu na cyberbezpieczeństwo mimo większych potrzeb. Organizacje nie postrzegają także nowych regulacji jako priorytetu – tylko 38 proc. z nich planuje uruchomić oddzielny projekt w związku z wdrożeniem NIS2. Ponadto biorąc pod uwagę wpływ NIS2 na dotychczasowy model zarządzania cyberbezpieczeństwem, co trzeci ankietowany (36 proc.) jeszcze nie analizował tego zagadnienia. Z kolei 30 proc. organizacji przyjrzało się już temu aspektowi, ale nie odnotowało istotnego wpływu na przyjęty sposób działania. Co to może oznaczać? M.in. to, że nie wszystkie podmioty mają pełną świadomość, jakie następstwa niesie NIS2. Inaczej rzecz ma się w przypadku Grupy ZUE.
– Z perspektywy Grupy ZUE dyrektywa NIS2 wymagała nie tylko dostosowania procedur, ale także wdrożenia technologii, które umożliwią szybkie przywrócenie działalności operacyjnej po awarii. To było dla nas priorytetowe – mówi Szymon Błaszczyk Kierownik Działu Informatyki w ZUE S.A. (Kraków) – Specyfika działalności ZUE w obszarze infrastruktury kolejowej i tramwajowej wymaga wysokiej niezawodności systemów i minimalizacji ryzyka przestojów. Ewentualne awarie lub ataki cybernetyczne mogłyby prowadzić nie tylko do strat operacyjnych, ale również do zaburzeń funkcjonowania infrastruktury kluczowej dla transportu publicznego – dodaje.
Transformacja procesów operacyjnych i wdrożenie Disaster Recovery as a Service (DRaaS) od Polcom miały bezpośredni wpływ na funkcjonowanie ZUE. Utrzymanie pozycji jednego z liderów branży komunikacji, infrastruktury kolejowej i miejskiej to jeden z celów strategicznych, które wyznaczają perspektywę działania w grupie ZUE na najbliższe lata. Tym samym długofalowym celem organizacji stało się poszerzenie oferty o dodatkowe usługi i rozwój działalności handlowej opartej na produkcji materiałów torowych, gdzie zapewnienie ciągłości działania IT odgrywa kluczową rolę w kontekście bezpieczeństwa i płynności biznesowej organizacji. Kolejną korzyścią, która zadecydowała o wdrożeniu DRaaS była stabilność operacyjna i ochrona danych, które wpłynęły na wzrost zaufania klientów oraz partnerów biznesowych. Dzięki transformacji ZUE zyskało również większą elastyczność. Usługi Polcom umożliwiają dynamiczne skalowanie infrastruktury IT w zależności od potrzeb projektów, co pozwala na efektywne zarządzanie zasobami.
Jak zauważa Szymon Błaszczyk Kierownik Działu Informatyki w ZUE S.A. (Kraków) z ZUE S.A.: wdrożenie rozwiązań disaster recovery nie było dla nas jedynie kwestią technologiczną, ale również strategiczną. Umożliwiło nam nie tylko spełnienie wymogów regulacyjnych, ale także utrzymanie płynności działań w trudnych sytuacjach. To fundamentalny element naszej strategii cyfryzacji, która wspiera rozwój nowych obszarów biznesowych.
Fundament odporności operacyjnej
W odpowiedzi na wymogi unijnej dyrektywy NIS2 oraz potrzeby wynikające z działalności w sektorze infrastruktury krytycznej, ZUE S.A. we współpracy z Polcom wprowadziło szereg zmian, które radykalnie poprawiły stabilność operacyjną firmy.
Jest to o tyle istotne, ponieważ według raportu Polcom „TRANSFORMACJA CYFROWA SEKTORA MŚP W LATACH 2024‑2026” aż 59% organizacji zauważyło wyraźny wzrost prób ataków w Internecie.
Efektem działań ZUE i Polcom było udostępnienie infrastruktury IT umożliwiającej szybkie reagowanie na awarie i skuteczne zarządzanie ryzykiem w obliczu rosnących zagrożeń cybernetycznych. Jest to o tyle istotne, ponieważ dyrektywa wprowadza surowe wymogi dotyczące zgłaszania incydentów – podmioty muszą niezwłocznie informować właściwe organy o poważnych incydentach od ich wykrycia.
– Dzięki wdrożonym procedurom i rozwiązaniom, czas przywracania działania operacyjnego przedsiębiorstwa (RTO) w przypadku awarii został skrócony do 120 minut. W praktyce oznacza to, że kluczowe systemy mogą wznowić działanie niemal natychmiast po incydencie, minimalizując ryzyko przestojów, które mogłyby zakłócić realizację strategicznych projektów – mówi Daniel Gołda Key Account Manager w Polcom.
Istotnym osiągnięciem jest również zapewnienie ciągłości działania systemów krytycznych, takich jak ERP. Te kluczowe dla funkcjonowania firmy aplikacje stały się bardziej odporne na przerwy w dostępie dzięki synchronizacji danych w zapasowej infrastrukturze IT. ZUE mogło tym samym utrzymać nieprzerwane działanie systemów nawet w trudnych warunkach, co przełożyło się na większą przewidywalność realizacji projektów.
Zarządzanie ryzykiem
Kolejnym efektem przeprowadzonych zmian było stworzenie precyzyjnie zdefiniowanych procedur zarządzania ryzykiem, w tym planu ciągłości działania (Business Continuity Plan). Organizacja zyskała jasne wytyczne, jak reagować w przypadku awarii, ataku cybernetycznego czy innych niespodziewanych incydentów.
Dzięki wprowadzonym scenariuszom reakcji kryzysowej, ZUE jest w stanie nie tylko zminimalizować skutki takich sytuacji, ale także efektywnie planować działania prewencyjne. Parametry, takie jak RPO (maksymalna dopuszczalna utrata danych), zostały dopasowane do specyfiki działalności firmy, co pozwala lepiej kontrolować potencjalne straty.
– Przykład ZUE S.A. pokazuje, jak technologia może stać się fundamentem odporności firm oraz katalizatorem biznesowych zmian. Integracja zaawansowanych rozwiązań IT z planem rozwoju organizacji nie tylko zwiększa bezpieczeństwo, ale również otwiera nowe możliwości wzrostu w dynamicznie zmieniającym się otoczeniu rynkowym – wskazuje Daniel Gołda Key Account Manager w Polcom.
