Unia Europejska wprowadziła właśnie dyrektywę NIS2, która ma na celu wzmocnienie poziomu cyberbezpieczeństwa w krajach członkowskich wspólnoty. Nowe przepisy, które wejdą w życie w październiku 2024 roku, nakładają szereg wymagań na wybrane podmioty z wielu branż i sektorów. Z naszego artykułu dowiesz się jakie zmiany wprowadza dyrektywa NIS2 i jak przygotować się do jej wdrożenia.
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive 2), czyli dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terenie Unii Europejskiej. Dotyczy ona cyberbezpieczeństwa i ma na celu wzmocnienie ochrony infrastruktury cyfrowej oraz poprawę skuteczności w zakresie zarządzania ryzykiem.
Jej wprowadzenie wiąże się z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, rozszerzając zakres regulacji i nakładając nowe obowiązki na podmioty kluczowe i ważne w sektorze publicznym oraz prywatnym. Ponadto wprowadza ona nowe definicje, takie jak podmioty kluczowe i podmioty ważne, które zastępują wcześniejszego operatora usługi kluczowej.
Implementacja NIS2
Projekt dyrektywy NIS2 pojawił się 16 grudnia 2020 roku, a weszła ona w życie 22 grudnia 2022 roku. Z kolei 18 października 2024 roku ma zacząć obowiązywać na terenie całej Unii Europejskiej, w tym też w Polsce. Po tej dacie Ministerstwo Cyfryzacji będzie miało miesiąc na opublikowanie listy przedsiębiorstw objętych NIS2. Natomiast po opublikowaniu listy, firmy mają 6 miesięcy na uzyskanie zgodności z NIS2.
Pozostało zatem niewiele czasu na dostosowanie się do nowych wymogów. W związku z tym warto wiedzieć, jak przygotować się do wdrożenia NIS2 i tym samym zwiększyć bezpieczeństwo sieci i systemów informatycznych w swojej firmie. Nowe regulacje nie tylko dotyczą technologii, ale również czynników ludzkich, kładąc nacisk na edukację i świadomość pracowników w zakresie cyberbezpieczeństwa.
Zakres dyrektywy NIS2
Wraz z nowelizacją europejskiej dyrektywy pojawiają się nowe obowiązki. Ponadto, zmianie uległ także zakres podmiotów kluczowych i ważnych. Przyjrzyjmy się bliżej zakresowi nowych przepisów.
Zgłaszanie incydentów
Podmioty kluczowe, a także podmioty ważne będą miały obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa w ciągu 24 godzin od wykrycia incydentu. Natomiast pełny raport musi zostać złożony w ciągu 72 godzin.
Co więcej, zgłaszane będą tylko incydenty uznane za poważne, które mogą spowodować znaczne zakłócenia operacyjne usług lub straty finansowe, albo wpływać na inne osoby fizyczne lub prawne powodując znaczne szkody majątkowe lub niemajątkowe.
Ponadto, jeśli wspomniane incydenty mogą mieć wpływ na świadczenie usług, firmy muszą poinformować swoich klientów o takiej sytuacji.
Bezpieczeństwo łańcucha dostaw
Nowe przepisy nakładają również obowiązek zapewnienia bezpieczeństwa na każdym etapie łańcucha dostaw, w tym weryfikacji dostawców usług cyfrowych. W ten sposób możliwe jest zwiększenie ochrony podczas całego procesu obsługi.
Wprowadzenie strategii zarządzania ryzykiem
Ponadto, firmy objęte NIS2 muszą wdrożyć odpowiednie środki, takie jak:
- polityka zarządzania ryzykiem,
- obsługa incydentu,
- polityka ciągłego działania,
- szkolenia w zakresie cyberbezpieczeństwa,
- kryptografia i szyfrowanie,
- bezpieczeństwo zasobów ludzkich,
- uwierzytelnianie wieloskładnikowe.
Pozwolą one na skuteczne zarządzanie ryzykiem związanym z cyberbezpieczeństwem,
Podmioty kluczowe objęte regulacją
Dyrektywa NIS2 wprowadza nowy podział zarówno na podmioty kluczowe, jak i ważne. Tym samym, zastępuje ona poprzedni podział operatorów usług kluczowych (operatorów usług podstawowych) i dostawców usług cyfrowych.
Podmioty kluczowe to firmy, które dostarczają niezbędne usługi dla społeczeństwa i gospodarki. Muszą one zatrudniać więcej niż 50 osób, a ich obroty roczne przekraczać 50 mln euro lub ich roczna suma bilansowa przekraczać 43 mln euro.
- Energia
- Wydobywanie kopalin
- Energia elektryczna
- Ciepło
- Ropa i paliwa
- Gaz
- Dostawy i usługi dla sektora energii
- Jednostki nadzorowane i podległe
- Wodór
- Transport
- Transport lotniczy
- Transport kolejowy
- Transport wodny
- Transport drogowy
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia
- Zaopatrzenie w wodę pitną i jej dystrybucja
- Ścieki
- Infrastruktura cyfrowa
- Infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
- Komunikacja elektroniczna
- Zarządzanie usługami ICT
- Przestrzeń kosmiczna
- Administracja publiczna
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, wytwarzanie i dystrybucja żywności
- Produkcja:
- produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- produkcja komputerów, wyrobów elektronicznych i optycznych
- produkcja urządzeń elektrycznych
- produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
- produkcja pojazdów samochodowych, przyczep i naczep
- produkcja pozostałego sprzętu transportowego
Podmioty ważne
- Usługi pocztowe
- Gospodarowanie odpadami
- Zbieranie odpadów
- Transport odpadów
- Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
- Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
- Dostawy i usługi dla sektora gospodarowania odpadami
- Jednostki nadzorowane i podległe
- Dostawcy usług cyfrowych
- Badania naukowe
Przygotowanie do wdrożenia NIS2
Wdrożenie NIS2 to proces, który wymaga odpowiedniego przygotowania. Dostosowanie firmy do nowych wymogów powinno obejmować:
Audyt bezpieczeństwa
Pozwala na identyfikację słabych punktów w systemach informatycznych i wdrożenie niezbędnych środków bezpieczeństwa sieci.
Audyt ciągłości działania
Audyt ciągłości działania ma na celu zapewnienie, że firma jest przygotowana na wszelkie zakłócenia i może szybko przywrócić normalne funkcjonowanie po incydencie. W tym celu wykorzystuje się takie narzędzia, jak kopie zapasowe, które pozwalają odzyskać niezbędne dane do działania firmy.
Testy penetracyjne infrastruktury teleinformatycznej
Polegają one na przeprowadzeniu kontrolowanego ataku na infrastrukturę cyfrową w firmie, aby sprawdzić, jakie elementy są słabe i wdrożyć ewentualne poprawki. W ten sposób możliwe jest sprawdzenie odporności na próby złamania zabezpieczeń.
Testy podatności stron WWW i aplikacji
Testy te sprawdzają i naprawiają słabe punkty w stronach internetowych i aplikacjach, które mogą być wykorzystane przez cyberprzestępców.
Weryfikacja czynnika ludzkiego
Czynnik ludzki wciąż odgrywa kluczową rolę w cyberbezpieczeństwie. Z tego powodu ważne są szkolenia, aby uwrażliwiać pracowników na luki w bezpieczeństwie. Przykładem jest nieprawidłowe zarządzanie hasłami, które może narazić firmę na przejęcie dostępu przez osoby nieuprawnione.
Audyt dostawców kluczowych usług
Ocena dostawców kluczowych usług ma na celu zapewnienie bezpieczeństwa całego łańcucha dostaw, dbając o ciągłość działania. Ważne jest zatem weryfikowanie relacji między dostawcami, usługodawcami a podmiotem.
Podniesienie kompetencji cyberbezpieczeństwa kadry
Nie bez znaczenia jest też ciągłe podnoszenie kompetencji kadry. Firma, na której spoczywa obowiązek wdrożenia NIS2, powinna zapewnić pracownikom niezbędne szkolenia z zakresu cyberbezpieczeństwa.
Wdrożenie wymogów związanych z dyrektywą NIS2 może być długim procesem, zwłaszcza dla firm, które nie mają doświadczenia w tym obszarze. Dlatego warto jak najwcześniej rozpocząć przygotowania i skorzystać z pomocy specjalistów, którzy pomogą przeprowadzić niezbędne audyty i wdrożyć potrzebne zmiany.
Konsekwencje niedostosowania się do NIS2
Niedostosowanie się do dyrektywy NIS2 niesie ze sobą poważne konsekwencje zarówno dla podmiotów kluczowych, jak i ważnych. Sankcje i kary mają na celu wymuszenie przestrzegania standardów cyberbezpieczeństwa w całej Unii Europejskiej.
Warto wspomnieć tutaj o karach finansowych. W przypadku podmiotów kluczowych jest to co najmniej 10 milionów euro lub 2% całkowitego rocznego obrotu firmy. Dla podmiotów ważnych kara może wynieść 7 milionów euro lub 1,4% całkowitego rocznego obrotu firmy.
Co więcej, dyrektywa NIS2 wprowadza na państwa członkowskie odpowiedzialność finansową i osobistą kierownictwa wyższego szczebla. Oznacza to, że członkowie zarządu mogą być osobiście pociągnięci do odpowiedzialności za niedostosowanie firmy do nowych wymogów cyberbezpieczeństwa.
Wpływ NIS2 na krajowy system cyberbezpieczeństwa
Dyrektywa NIS2 wprowadza szereg zmian, które znacząco wpływają na krajowy system cyberbezpieczeństwa na terytorium Unii Europejskiej. Przyjrzyjmy się najważniejszym z nich.
Nowe przepisy w dziedzinie cyberbezpieczeństwa obejmują wiele sektorów, takich jak energetyka, transport, bankowość, opieka zdrowotna, infrastruktura cyfrowa, administracja publiczna i produkcja żywności. W praktyce oznacza to, że w Polsce kilka tysięcy firm będzie musiało się do nich dostosować.
Dyrektywa NIS2 znacząco wpłynie też na krajowy system cyberbezpieczeństwa, wprowadzając spójne standardy ochrony na terenie całej Unii Europejskiej. Jednocześnie zwiększy ona świadomość firm oraz pracowników na aspekty związane z bezpieczeństwem sieci i systemów informatycznych, a także uspójni dotychczasowe standardy w tym zakresie.
Niewątpliwie nowe przepisy wymuszą większe inwestycje w cyberbezpieczeństwo oraz podniosą świadomość na temat zagrożeń cyfrowych. Tym samym pozwolą one na stworzenie silnych struktur oraz systemów na terenie całej Unii Europejskiej.
