Trwa ładowanie...
28-07-2024

Nowa dyrektywa unijna NIS2 obejmuje większą liczbę podmiotów niż dotychczasowe przepisy i nakłada kolejne wymagania dotyczące cyberbezpieczeństwa. Rosną także kary za ich nieprzestrzeganie. Kogo dotyczy nowe prawo? Jakie są wymagania nałożone na przedsiębiorców? Sprawdź!

NIS2 – co to za dyrektywa? Dlaczego powstała?

 

Dyrektywa NIS2 (Network and Information System Directive 2) to nowelizacja prawa europejskiego w zakresie cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz niektórych podmiotów działających na jej obszarze.

Celem nowelizacji jest wzmocnienie odporności infrastruktury na ataki cybernetyczne, które stają się coraz bardziej zaawansowane i powszechne. Dotyczy to przede wszystkim infrastruktury krytycznej i kluczowych obszarów funkcjonowania państwa.

Dyrektywa NIS a NIS2

Pierwszy unijny akt prawny dotyczący cyberbezpieczeństwa, czyli dyrektywa NIS, został przyjęty w 2016 roku. W Polsce wdrożono go w lipcu 2018r. Pierwsza wersja dyrektywy koncentrowała się na zabezpieczeniach sieci i systemów informatycznych związanych z infrastrukturą krytyczną państw członkowskich. NIS2 rozszerza listę podmiotów objętych przepisami dot. cyberbezpieczeństwa o podmioty z sektorów nieuznawanych wcześniej za krytyczne.

Zmianie uległy także wymogi dotyczące bezpieczeństwa: dyrektywa NIS skupiała się na zapobieganiu incydentom, natomiast NIS2 rozszerza wymagania na ocenę ryzyka, gotowość do reagowania na zagrożenia i minimalizowanie ich skutków.

Prawodawca zrezygnował z podziału na operatorów usług podstawowych i dostawców usług cyfrowych. Zamiast tego wprowadzony został podział podmiotów względem ich znaczenia.

Istotna jest także zmiana dotycząca tego, że to nie organy państw członkowskich mają identyfikować kluczowe przedsiębiorstwa, ale same firmy muszą określić, czy spełniają wymagania określone w przepisach. To dodatkowy obowiązek nałożony na średnich i dużych przedsiębiorców, którego niedopełnienie może mieć poważne konsekwencje finansowe.

Dyrektywa NIS2 przewiduje zwiększenie kar finansowych za niestosowanie się do przepisów.

Kogo dotyczy dyrektywa NIS2? Jakie ma wymagania wobec określonych podmiotów?

 

Skoro wiesz już, co to jest NIS2, sprawdź jeszcze, kogo dokładnie dotyczy. Obejmuje podmioty z sektora prywatnego i publicznego. Dotyczy średnich i dużych przedsiębiorstw działających w wybranych branżach. Podmioty podzielone są na dwa rodzaje: ważne i kluczowe. Wobec podmiotów zakwalifikowanych do drugiej grupy wymagania są bardziej rygorystyczne.

Sektory kluczowe:

  • energetyka,
  • transport,
  • woda pitna,
  • ścieki,
  • zdrowie,
  • rynki finansowe,
  • bankowość,
  • infrastruktura cyfrowa,
  • administracja publiczna,
  • przestrzeń kosmiczna.

Sektory ważne:

  • żywność,
  • chemia,
  • produkcja,
  • gospodarowanie odpadami,
  • usługi pocztowe i kurierskie,
  • dostawcy cyfrowi.

Kogo dotyczy NIS2 i jak będą rozróżniane firmy? Sektor działania to nie wszystko. Podmioty będą kwalifikowały się jako kluczowe, jeśli są odpowiednio duże. Średnie przedsiębiorstwa z sektorów objętych dyrektywą będą klasyfikowane jako ważne.

Kryteria dotyczące wielkości podmiotu:

  • duże przedsiębiorstwa – zatrudniają przynajmniej 250 osób i mają obroty powyżej 50 mln euro rocznie;
  • średnie przedsiębiorstwa – zatrudniają przynajmniej 50 osób, a ich roczny obrót przekracza 10 mln euro.

W szczególnych przypadkach przepisy mogą objąć mniejsze podmioty, jeśli są one istotne dla funkcjonowania gospodarki lub społeczeństwa (np. dostawców usług DNS).

Nakładane przez NIS2 wymagania:

  • regularne szkolenia i testy z zakresu cyberbezpieczeństwa,
  • przeprowadzanie regularnych ocen ryzyka i audytów cyberbezpieczeństwa,
  • opracowanie Planu Ciągłości Działania i zabezpieczenie łańcuchów dostaw,
  • zgłaszanie incydentów związanych z cyberbezpieczeństwem do odpowiednich organów,
  • wdrażanie środków organizacyjnych i technicznych zwiększających cyberbezpieczeństwo i pozwalających na zarządzanie ryzykiem,
  • prowadzenie dokumentacji dotyczącej wdrożonych rozwiązań,
  • wymiana informacji i współpraca z innymi podmiotami uwzględnionymi w dyrektywie NIS2 w zakresie cyberbezpieczeństwa.

Firmy nieobjęte wcześniej przepisami NIS muszą znacząco zwiększyć swój poziom dojrzałości w zakresie cyberbezpieczeństwa, co wiąże się ze wzrostem kosztów.

Przedsiębiorstwa nieobjęte przepisami mogą dobrowolnie zgłaszać incydenty związane z cyberbezpieczeństwem. Państwa członkowskie muszą zapewnić ku temu odpowiednie możliwości.

Na podmiotach zakwalifikowanych jako ważne lub kluczowe spoczywa obowiązek przekazania podstawowych danych do ENISA, która będzie prowadziła ich rejestr.

Od kiedy ma obowiązywać dyrektywa NIS2?

 

Przepisy wdrażające unijną dyrektywę z 4 grudnia 2022 roku mają wejść w życie najpóźniej 18 października 2024 roku. Oznacza to, że do tego czasu wszystkie podmioty objęte zmienionymi regulacjami muszą dostosować się do wymogów. Kwestia tego, od kiedy NIS2 będzie obowiązywała w Polsce, zależy od prac nad ustawą o KSC.

Za niezastosowanie się do przepisów dyrektywy NIS2 może zostać nałożona kara w wysokości do 10 000 000 euro lub 2% rocznego obrotu przedsiębiorstwa – stosowana będzie wyższa kwota.

Dyrektywy NIS i NIS2 a ustawa o KSC

 

Przepisy dyrektywy NIS zostały wprowadzone w życie w ramach Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Rozszerzyła ona zakres podmiotów objętych przepisami o podmioty publiczne. Wprowadzenie dyrektywy NIS2 wymaga przygotowania przez rząd nowej ustawy. Chociaż termin wprowadzenia w życie przepisów jest już blisko, wciąż niewiele wiadomo na temat nowelizacji prawa krajowego. Według niektórych ekspertów realne wdrożenie NIS2 w Polsce może opóźnić się nawet o kilka miesięcy, ale zwłoka z wdrożeniem rozwiązań naraża firmy na ryzyko kar finansowych.

Czy twoja firma musi spełnić wymagania NIS2?

 

Co czwarta firma objęta dyrektywą NIS2 nie ma świadomości, że dotyczą jej te właśnie przepisy. Jeżeli Twoja firma działa w jednym z sektorów uznanych za ważny albo kluczowy i spełnia wymagania dotyczące wielkości, musisz zadbać o to, żeby wdrożyć wymagane rozwiązania. Warto zacząć od audytu i określenia, które obszary wymagają poprawy. Dzięki ofercie Plusa zwiększysz cyberbezpieczeństwo swojej firmy i przygotujesz się do wdrożenia rozwiązań wymaganych przez dyrektywę NIS2.

Specjaliści Plusa przeprowadzą konsultację i pomogą Ci w ustaleniu, czy Twoja firma musi spełnić te wymagania. Uzyskasz wsparcie w opracowaniu Planu Ciągłości Działania i wdrożeniu rozwiązań z zakresu analizy bezpieczeństwa i zarządzania ryzykiem.

Wdrażając takie rozwiązania jak EMM od Plusa, podniesiesz poziom cyberbezpieczeństwa w swojej organizacji. System umożliwia weryfikację rejestracji urządzeń, co ułatwia egzekwowanie zasad dotyczących bezpieczeństwa.

Zwróć także uwagę na rozwiązanie Techstep, które łatwo zintegrujesz z systemem IT używanym w Twojej firmie. Zabezpieczysz się w ten sposób przed wyciekiem danych, zwiększysz poziom ochrony haseł i zapewnisz wszystkim użytkownikom szyfrowanie.

Polecane
19-06-2024

Security awareness, czyli świadomość bezpieczeństwa. Jak wprowadzić ją w firmie?

W cyfrowo zdominowanym świecie świadomość bezpieczeństwa (ang. security awareness) w organizacjach staje się nie tylko atutem, ale koniecznością. Działania w ramach IT security awareness, czyli edukacji pracowników w zakresie bezpieczeństwa IT, są kluczowe dla ochrony przed coraz bardziej zaawansowanymi zagrożeniami cybernetycznymi. W tym materiale omówimy, jak w skuteczny sposób wprowadzić program security awareness w firmie, korzystając z możliwości oferowanych przez Plus Data Center.
Czytaj dalej