Desktop_BezpieczenstwoIT_cover.png
Wiedza dla biznesu

Dyrektywa NIS 2 a cyberbezpieczeństwo – kompendium wiedzy o nadchodzących zmianach

2 lipca 2024 6 minut czytania

Cyberprzestrzeń stała się niezbędnym miejscem nie tylko do porozumiewania się ze znajomymi, ale także do koordynowania wielu sektorów gospodarki. Usługi cyfrowe, logistyka, administracja publiczna oraz infrastruktura krytyczna to tylko niektóre z branż narażonych na coraz częstsze ataki hakerów.

W odpowiedzi na rosnące zagrożenia w sferze cyfrowej Parlament Europejski uchwalił dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, znaną pod nazwą NIS 2. Czas na dostosowanie się do jej wymogów mija 17 października 2024 roku, a kary przewidziane są w milionach euro. Sprawdź w artykule, czy dyrektywa NIS 2 dotyczy Twojej branży i jakie obowiązki zostaną nałożone na firmy w myśl nowych przepisów.

Spis treści:

Czym jest dyrektywa NIS 2?

Jakie są główne cele dyrektywy NIS 2?

Dyrektywa NIS 2 w Polsce - na co trzeba się przygotować?

Jakie firmy podlegają NIS 2?

7 elementów zgodności z NIS 2: checklista

Podsumowanie

Czym jest dyrektywa NIS 2?

Dyrektywa NIS 2 [Network and Information Security] to uchwała Unii Europejskiej, która reguluje poziom zabezpieczeń w wybranych sektorach gospodarki na terenie UE. Dokument ten został zatwierdzony 14 grudnia 2022 roku w odpowiedzi na rosnącą liczbę cyberzagrożeń, m.in. ze strony organizacji hakerskich działających na terenie Rosji i Białorusi. Dyrektywa NIS 2 zastępuje obowiązującą od 2016 roku w Unii Europejskiej dyrektywę NIS – pierwsze europejskie prawo w zakresie cyberbezpieczeństwa.

NIS, NIS 2, DORA – charakterystyka i różnice

NIS 2 precyzuje mechanizmy dostosowywania się do prawa europejskiego, zapewnia lepszy nadzór regulacyjny i podnosi grzywny za niedostosowanie się do nowych regulacji do maksymalnej wysokości 10 mln euro lub nawet do 2% rocznego globalnego obrotu przedsiębiorstwa. Poprzednia wersja dyrektywy była jedynie punktem odniesienia i sugestią w zakresie egzekwowania prawa. NIS 2 rozszerza także zakres branż/sektorów gospodarki objętych dyrektywą m.in. o administrację publiczną, gospodarkę odpadami oraz usługi pocztowe i kurierskie. Dotychczas szczególne środki bezpieczeństwa musiały wprowadzać przede wszystkim branże: energetyczna, lecznicza, transportowa i finansowa.

Sektor finansowy równocześnie z uchwaleniem NIS 2 doczekał się dedykowanej regulacji  DORA. Unijne rozporządzenie DORA z dnia 14 grudnia 2022 roku (UE)2022/2554  dotyczy operacyjnej odporności cyfrowej branży finansowej i zaostrzenia wymogów w zakresie oceny ryzyka oraz sprawozdawczości, która będzie stosowana od 17 stycznia 2025 roku.

Jakie są główne cele dyrektywy NIS 2?

NIS 2  doprecyzowuje szereg aspektów w dotychczasowej polityce zarządzania ryzykiem i bezpieczeństwa systemów informatycznych. Celem dyrektywy jest maksymalna ochrona danych gospodarczych o znaczeniu krajowym i europejskim. W odpowiedzi na coraz częstsze ataki na infrastrukturę informatyczną, nowe wymogi prawne mają na celu poprawić w najbardziej narażonych  sektorach ciągłość działania i powrót do stanu sprzed wystąpienia incydentu.

NIS 2 ma również na celu podniesienie bezpieczeństwa w łańcuchach dostaw. Od momentu wejścia w życie nowego prawa wszystkie podmioty współpracujące z firmą objętą dyrektywą także będą musiały dostosować się do regulacji, aby zniwelować możliwość wyprowadzenia poufnych danych należących do największych podmiotów poprzez kontrahentów.

Kogo dotyczą nowe regulacje?

Wprowadzona w 2022 roku unijna dyrektywa dotyczy firm działających na terenie krajów członkowskich UE, które działają w jednej z 18 branż. NIS 2 dzieli te branże na dwie kategorie: kluczowe i ważne.

Do sekorów kluczowych należą:

  • energetyka,
  • transport,
  • bankowość,
  • infrastruktura rynków finansowych,
  • opieka zdrowotna,
  • woda pitna,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • podmioty administracji publicznej,
  • przestrzeń kosmiczna.

Jako branże ważne zostały zakwalifikowane:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja chemikaliów,
  • produkcja żywności,
  • inne działy produkcji, jak leki czy urządzenia elektroniczne,
  • dostawcy usług cyfrowych,
  • organizacje badawcze.

W NIS podmioty wyznaczane były poprzez decyzje administracyjne. W NIS 2 podmioty podlegają samoidentyfikacji, co oznacza, że podmiot musi sam - pod rygorem kar - sprawdzić i zgłosić podleganie NIS 2.

Dyrektywa NIS 2 w Polsce – na co trzeba się przygotować?

Wprowadzenie dyrektywy NIS 2 w Polsce jest o wiele bardziej skomplikowane niż dostosowanie się do uchwalonych w 2018 przepisów o RODO. Unijne prawo skupia się na ochronie danych gospodarczych o dużym znaczeniu dla całej UE.

Zanim rozpoczniesz dostosowywanie swojej firmy do nowych przepisów, musisz sprawdzić, czy branża, w której działasz, jest objęta nowymi regulacjami. NIS2 znosi administracyjne wyznaczanie podmiotów i zobowiązuje firmy do samodzielnej identyfikacji. Jeżeli Twoja firma musi dostosować się do regulacji, zgłoś ten fakt do odpowiednich organów, ponieważ za brak zgłoszenia zostały przewidziane kary. Następnie czekają Cię czynności przygotowawcze i wykazanie, że dostosowanie Twojego przedsiębiorstwa do NIS 2 jest możliwe. W ostatnim etapie wprowadzisz rozwiązania bezpieczeństwa oraz raportowania o incydentach do odpowiednich organów.

Jakie firmy podlegają NIS 2?

NIS 2 w Polsce obejmuje kilkaset podmiotów z 11 wyszczególnionych branż. Należą do nich m.in.:

  • szpitale, przychodnie i firmy farmaceutyczne;
  • firmy oferujące transport lądowy, powietrzny i wodny;
  • banki i podmioty dostarczające infrastrukturę dla sektora finansowego;
  • oczyszczalnie ścieków i stacje uzdatniania wody;
  • firmy energetyczne, ciepłownie, gazownie;
  • dostawcy infrastruktury cyfrowej.

W odróżnieniu od dyrektywy NIS jej nowa wersja nie pozostawia dowolności w określaniu operatorów usług kluczowych. Ścisły nadzór regulacyjny i wysokie grzywny mają chronić przed wybiórczym stosowaniem się do prawa.

Jakie obowiązki wynikają z nowych przepisów?

W związku z wprowadzeniem dyrektywy NIS 2 wszystkie podmioty objęte nowym prawem mają przed sobą szereg obowiązków do wykonania. Należą do nich m.in. audyt bezpieczeństwa IT, plan postępowania w przypadku cyberataku oraz szkolenia pracowników. Zalecane jest również korzystanie ze zautomatyzowanego systemu do wykrywania i monitorowania incydentów, który dostępny jest np. w usłudze Security Operations Center.

Odpowiedzialność za wprowadzenie oraz egzekucję wymogów NIS 2 ponoszą przede wszystkim organy zarządzające. Uchwała UE zezwala na stosowanie kar administracyjnych oraz środków naprawczych wobec osób wchodzących w skład organu zarządzającego oraz innych osób fizycznych, które są odpowiedzialne za nieprzestrzeganie postanowień dyrektywy. Mogą być one nałożone za niedopilnowanie obowiązków związanych z zatwierdzaniem środków przeznaczanych na cyberbezpieczeństwo i nadzorowaniem ich wydatkowania oraz brakiem uczestnictwa w szkoleniach z cyberbezpieczeństwa.

W poniższej tabeli znajdziesz najważniejsze wymagania, jakie musisz spełnić, aby bez stresu wejść w erę obowiązywania dyrektywy NIS 2.

7 elementów zgodności z NIS 2: checklista

  1. Sprawdź, czy Twoja firma podlega pod dyrektywę NIS 2 i zgłoś ten fakt organom krajowym.
  2. Przeprowadź audyt bezpieczeństwa i ocenę ryzyka.
  3. Przygotuj plan reakcji na incydenty cyberbezpieczeństwa.
  4. Wprowadź ciągłe monitorowanie i aktualizowanie infrastruktury informatycznej.
  5. Zadbaj o regularne szkolenia z cyberbezpieczeństwa wśród pracowników.
  6. Prowadź dokumentację incydentów bezpieczeństwa i na bieżąco zgłaszaj je odpowiednim organom.
  7. Zadbaj o kopie zapasowe i odzyskiwanie danych w przypadku cyberataku.

Dlaczego należy spełniać wymogi dotyczące cyberbezpieczeństwa? Poznaj środki zarządzania kryzysem

W ciągu siedmiu lat od wprowadzenia dyrektywy NIS aż do uchwalenia jej aktualizacji w postaci NIS 2 rewolucja technologiczna objęła kolejne branże. Tego czasu nie przespali także hakerzy, którzy z powodzeniem wyprowadzają ataki ransomware, phishing lub kampanie dezinformacyjne, dezorganizując pracę, powodując straty finansowe i wykradając cenne informacje.

W ramach unijnej dyrektywy NIS 2 szczególny nacisk jest położony na ciągłość działania i zarządzania kryzysowego w razie wystąpienia incydentu. Każda organizacja objęta nowym prawem musi posiadać realne narzędzia do przywracania działania firmy sprzed wystąpienia kryzysowej sytuacji. Z pomocą przychodzą tutaj rozwiązania oparte o usługi chmurowe takie jak disaster recovery obejmujące wykorzystanie więcej niż jednego centrum danych w różnych lokalizacjach geograficznych. Kluczowe jest również posiadanie planów ciągłości działania oraz planów zarządzania ryzykiem. Procesy wynikające z tych planów powinny być regularnie weryfikowane, kopie zapasowe testowane i aktualizowane.

Podsumowanie

Wejście w życie dyrektywy NIS 2 oznacza, że przedsiębiorcy będą musieli zmierzyć się z szeregiem wymagań w wielu obszarach IT. Jednak wysiłek włożony w podniesienie poziomu bezpieczeństwa i dostosowanie go do unijnych wytycznych zaprocentuje w sytuacji ataku hakerskiego lub zdarzenia losowego. Przygotowania do wprowadzenia NIS 2 warto zacząć jak najszybciej, aby skutecznie odeprzeć niebezpieczeństwo w cyberprzestrzeni i uniknąć wysokich kar finansowych. Usługi świadczone przez Play Rozwiązania dla Biznesu są pewną odpowiedzią na stojące przed firmami wyzwania.

Play Expert poleca

Sprawdź najkorzystniejsze oferty na play.pl