Dyrektywa NIS 2 weszła w życie ponad rok temu, ale nadal dla wielu przedsiębiorców jest nowym pojęciem. A nie powinna. Wprowadza bowiem nowe, bardziej rygorystyczne wymogi dotyczące cyberbezpieczeństwa dla szerokiej grupy organizacji. Zarówno w sektorze publicznym, jak i prywatnym. Podstawowym celem wdrożenia regulacji jest zwiększenie poziomu bezpieczeństwa sieci i systemów informacyjnych w całej Unii. Taki ruch nie dziwi. W końcu liczba zagrożeń w cyberprzestrzeni rośnie z roku na rok, ale czy okaże się dobrym rozwiązaniem i narzędziem walki?
Aby odpowiedzieć na to pytanie warto przyjrzeć się dokładnie na czym polega Dyrektywa NIS 2, co w praktyce oznacza dla firm, kogo dokładnie dotyczy oraz jak się do niej przygotować. W dzisiejszym wpisie podsumujemy te informacje, zapraszamy.
Dyrektywa NIS 2 – co to takiego?
Jak już wspomnieliśmy Dyrektywa NIS 2 to nowe regulacje wprowadzone przez UE. Od dłuższego czasu mówiło się, że zmieni ona całkowicie kształt cyberbezpieczeństwa w Państwach Członkowskich Unii Europejskiej. Zwłaszcza w pewnych sektorach, które obejmie swoim zakresem. Od daty wejścia w życie Dyrektywy, czyli 16 stycznia 2023 r., Państwa Członkowskie UE, w tym oczywiście Polska, mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.
NIS 2 ma znacznie szerszy zakres niż poprzednia wersja. Obejmuje nie tylko tradycyjne sektory infrastruktury krytycznej, takie jak energetyka, transport czy zdrowie, ale też zupełnie nowe sektory, takie jak dostawcy usług cyfrowych, poczta i kurierzy, przestrzeń kosmiczna, a nawet niektóre elementy administracji publicznej. Istotną zmianą jest również klasyfikacja organizacji na „istotne” i „ważne”, w zależności od ich wielkości i znaczenia dla społeczeństwa oraz gospodarki.
Każda firma, która spełnia kryteria średniego przedsiębiorstwa, czyli zatrudnia minimum 50 pracowników lub posiada obrót powyżej 10 milionów euro, powinna dostosować się do Dyrektywy NIS 2.
Jednym z kluczowych wymogów dyrektywy NIS 2 jest wdrożenie zaawansowanych środków cyberbezpieczeństwa, które obejmują m.in.:
- zarządzanie ryzykiem,
- monitorowanie luk w systemach,
- szyfrowanie danych,
- zabezpieczenie łańcuchów dostaw.
Zasady te są obligatoryjne i muszą być wdrożone przez każdą organizację objętą dyrektywą. Ponadto wprowadzono surowe wymogi raportowania incydentów – firmy muszą zgłaszać znaczące incydenty cybernetyczne do odpowiednich organów w ciągu 24 godzin od ich wystąpienia. Pełen tekst Dyrektywy znajdziecie TUTAJ.
Dyrektywy NIS 2 – najważniejsze zmiany i założenia
Jakie są kluczowe zmiany dla przedsiębiorców, które wprowadza Dyrektywa NIS 2? Przede wszystkim obejmuje dwa typy podmiotów: podmioty kluczowe (essential entities) oraz podmioty istotne (important entities). To znaczące rozszerzenie zakresu dotychczasowych regulacji między innymi o administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami. Na podmioty objęte Dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. Dyrektywa precyzuje też zapisy w zakresie raportowania incydentów.
Zgodnie z dyrektywą, jednym z podstawowych obowiązków zarówno podmiotów kluczowych, jak i ważnych, jest wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w dwóch celach. Pierwszy to zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług. Drugi to zapobieganie wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami. Przepisy, nie określają konkretnie jakie to środki dla poszczególnych podmiotów, wskazują jednocześnie, że powinny być proporcjonalne, uwzględniające wielkość podmiotu, stopień narażenia na ryzyko, oraz prawdopodobieństwo wystąpienia incydentów i jego skutki. W przypadku stwierdzenia niezgodności środków wdrożonych z wymaganiami dyrektywy, podmiot zobowiązany będzie do bezzwłocznego zastosowania środków naprawczych. A co jeśli nie?
Kary i odpowiedzialność
Dyrektywa NIS 2 nakłada większą odpowiedzialność na zarządy firm. Zarządy muszą osobiście zaangażować się w procesy zarządzania ryzykiem i zatwierdzać odpowiednie działania dotyczące cyberbezpieczeństwa. W przypadku naruszenia przepisów, członkowie zarządów mogą ponieść konsekwencje prawne, w tym osobiste sankcje. Jakie?
Firmy, które nie spełnią wymogów NIS 2, mogą spodziewać się poważnych kar finansowych. Dla „istotnych” podmiotów grzywny mogą sięgnąć nawet 10 milionów euro lub 2% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Podmioty „ważne” są objęte niższymi karami, ale nadal mogą zostać ukarane grzywną do 7 milionów euro lub 1,4% obrotu.
Jak się przygotować do wymogów Dyrektywy NIS 2?
Dostosowanie się do wymogów NIS 2 wymaga nie tylko wprowadzenia nowych procedur bezpieczeństwa, ale także gruntownego przeglądu istniejących rozwiązań technologicznych i operacyjnych. To oznacza, że samodzielne wdrożenie odpowiednich rozwiązań przez podmioty może okazać się trudne i konieczne będzie wsparcie zewnętrznych specjalistów. Jako WBT-IT świadczymy wsparcie w tym zakresie, zapewniając miedzy innymi:
- analizę ryzyka i wdrożenie odpowiednich środków zapobiegawczych dostosowanych do danego podmiotu,
- pomoc w zabezpieczeniu łańcuchów dostaw, w tym wymuszenie zgodności na dostawcach zewnętrznych,
- przygotowanie planów reakcji na incydenty, które będą zgodne z wymogami dyrektywy.
Jeśli Twoja firma nie podjęła jeszcze żadnych działań, skontaktuj się z nami. Czasu na przygotowanie się do Dyrektywy NIS 2 zostało już bardzo mało. Napisz lub zadzwoń do nas, omówimy najważniejsze potrzeby, przeprowadzimy dokładną analizę i zaproponujemy konkretne działania.