W ostatnich latach obserwujemy gwałtowny wzrost liczby cyberataków i incydentów w Europie. Poważnym problemem jest w szczególności phishing, złośliwe oprogramowanie i ransomware. Cyberataki mogą znacząco wpłynąć na społeczeństwa, ponieważ w dużej mierze polegamy na dobrze funkcjonującej infrastrukturze cyfrowej, zarówno na poziomie biznesowym, jak i osobistym. Ponieważ wszyscy pracujemy głównie cyfrowo, bezpieczeństwo cybernetyczne jest podstawowym wymogiem, a nie opcją.
Aby wzmocnić bezpieczeństwo cybernetyczne w całej Europie, Parlament Europejski głosował za przyjęciem zmienionej dyrektywy w sprawie systemów sieciowych i informatycznych 2022/0383, zwanej częściej "NIS 2". Mając na celu rozszerzenie, wzmocnienie i zharmonizowanie wdrażania istniejących ram bezpieczeństwa cybernetycznego UE, NIS 2 stanowi kluczową część unijnej strategii bezpieczeństwa cybernetycznego i jest zgodny z priorytetem Komisji Europejskiej, jakim jest dostosowanie Europy do ery cyfrowej.? Do jakich sektorów ma zastosowanie? I co jego wprowadzenie oznacza dla Twojej organizacji? O tym możesz przeczytać w tym artykule.
Czym jest dyrektywa NIS2?
W 2016 roku UE wprowadziła dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS). Ta dyrektywa NIS1 określa rygorystyczne wymogi dotyczące cyberbezpieczeństwa dla tzw. "kluczowych przedsiębiorstw". Są to np. przedsiębiorstwa wodociągowe, energetyczne i telekomunikacyjne. NIS2 uzupełnia i rozszerza dyrektywę, która wyznacza więcej firm jako przedsiębiorstwa zasadnicze. W sumie obejmuje ona około 160 tys. organizacji w całej Europie.
Kluczowymi elementami NIS2 są:
Ze względu na znaczenie dla gospodarki i społeczeństwa, nowa dyrektywa obejmuje więcej sektorów i zmienia sposób klasyfikacji przedsiębiorstw. We wniosku uwzględniono średnie i duże przedsiębiorstwa w wybranych sektorach. Jednocześnie daje ona państwom członkowskim pewną elastyczność w zakresie identyfikacji mniejszych firm o profilu wysokiego ryzyka.
Silniejszy nacisk na organy zarządzające spółek objętych zakresem działania, w ramach którego państwa członkowskie muszą zapewnić, że takie organy zarządzające mogą zostać pociągnięte do odpowiedzialności za naruszenie przez podmiot przepisów dotyczących tych środków
Dyrektywa zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu ryzykiem i określając podstawowe środki bezpieczeństwa cybernetycznego, które muszą wprowadzić wszystkie organizacje objęte zakresem dyrektywy.
Wymogi dotyczące zgłaszania incydentów zostaną zaostrzone, a sankcje za ich nieprzestrzeganie zostaną podwyższone.
W NIS2 nie ma już rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych. Organizacje zostały sklasyfikowane według ich znaczenia i podzielone na kategorie kluczowe i ważne, w wyniku czego podlegają różnym rygorom kontroli nadzorczej.
Poszczególne podmioty muszą zająć się zagrożeniami bezpieczeństwa w łańcuchach dostaw i relacjach z kontrahentami.
Wprowadzone zostaną silniejsze środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa oraz harmonizacja systemów sankcji i obowiązków sprawozdawczych w państwach członkowskich, a także wzmocniona zostanie współpraca i wymiana informacji między państwami członkowskimi.
Kiedy i kogo dotyczy system NIS2?
System NIS2 ma zastosowanie do każdej organizacji prowadzącej lub świadczącej działalność na terenie UE, która świadczy konsumentom usługi podstawowe (co oznacza, że odpowiada opisowi "podstawowego" lub "ważnego" podmiotu w określonym wykazie sektorów). Przykłady obejmują dostawców internetu, dostawców energii, przedsiębiorstwa dostarczające wodę pitną, przetwórców odpadów, banki, przewoźników, instytucje opieki zdrowotnej oraz fabryki produkujące żywność lub główne artykuły gospodarstwa domowego. Wartymi uwagi wyjątkami będą mniejsze przedsiębiorstwa, które można by uznać za istotne, ale nie spełniają one limitu wielkości (oczekuje się, że ich roczny przychód wyniesie 10 mln EUR i/lub zatrudniają mniej niż 50 osób) oraz inne podmioty wyraźnie wyłączone przez państwa członkowskie.
NIS2 może oznaczyć organizacje jako istotne lub ważne - które podlegają tym samym wymogom zarządzania cyberbezpieczeństwem i obowiązkowi zgłaszania incydentów w ramach NIS 2. Największa różnica między organizacjami kluczowymi a ważnymi? Monitorowanie zgodności z przepisami. W przypadku istotnych dostawców, głównie stron z istotnych sektorów, monitorowanie będzie musiało być ściśle proaktywne i wyraźnie odzwierciedlone w ich procesach. Oznacza to, że organy nadzorcze sprawdzają, czy organizacje te prawidłowo stosują i przestrzegają przepisów. W przypadku kluczowych dostawców nadzór odbywa się po zdarzeniu, jeśli istnieją przesłanki wskazujące na incydent cybernetyczny.
Nowe przepisy mają szerszy zakres (więcej sektorów i więcej organizacji) niż dyrektywa NIS1 i mają na celu wyrównanie i zwiększenie odporności cyfrowej w krajach członkowskich UE. NIS2 ma być zapisana w prawie w Polsce najpóźniej do września 2024 roku. "Dla wielu MŚP, NIS2 nie będzie miał żadnego wpływu, chyba że przedsiębiorstwo ma kluczowe znaczenie. Wtedy będziesz certyfikowany i będziesz miał częstsze wizyty od organu regulacyjnego" - wyjaśnił Bart Groothuis, członek Parlamentu Europejskiego.
Jakie są skutki nowych przepisów?
Czy Twoja organizacja została zidentyfikowana jako kluczowa? I czy nie spełniasz wymogów NIS2? W takim razie możesz być narażony na kary pieniężne w wysokości do 10 mln euro lub 2% całkowitego rocznego światowego obrotu. Osoby posiadające odpowiednie uprawnienia w zakresie bezpieczeństwa cybernetycznego lub pełniące funkcje (zarządcze) mogą zostać pociągnięte do osobistej odpowiedzialności za brak zgodności.
Staranne przygotowanie
Formalne zatwierdzenie NIS2 nastąpiło 10 listopada 2022 roku, a jego formalna publikacja weszła w życie 16 stycznia 2023 roku. Oznacza to, że europejskie państwa członkowskie muszą rozpocząć wdrażanie w ciągu 21 miesięcy od daty publikacji. Wdrożenie musi więc zostać zakończone do 17 października 2024 roku. Daje to firmom czas na przygotowanie się z wyprzedzeniem.
Na szczęście możesz zrobić wiele, aby podnieść swoje bezpieczeństwo cybernetyczne na wyższy poziom. Upewnij się, że przyjmujesz zasady bezpieczeństwa i prywatności w fazie projektowania podczas wprowadzania nowych procesów lub przeglądu dostawców - i przygotuj się do uzyskania zgodności z systemem NIS 2 w sposób kompleksowy, który uwzględnia również odpowiednie obowiązki wynikające z innych przepisów. Na przykład polityka bezpieczeństwa cybernetycznego i procedury zarządzania incydentami będą musiały uwzględniać wszystkie odpowiednie wymogi wynikające z obowiązujących przepisów, w tym wymogi RODO dotyczące zgłaszania incydentów oraz odpowiednich środków technicznych i organizacyjnych, ale nie należy automatycznie zakładać, że proces reagowania na incydenty zgodny z RODO będzie wystarczający do celów systemu NIS 2, zwłaszcza w świetle bardziej rygorystycznych ram czasowych zgłaszania incydentów w ramach systemu NIS 2. Dokonaj przeglądu swoich wymogów i zgłaszania incydentów - i zastanów się, jakie zmiany są konieczne.
Konsekwentne stosowanie uwierzytelniania wieloczynnikowego (MFA), opracowanie solidnych ram zarządzania tożsamością i dostępem (IAM) oraz zmniejszenie powierzchni ataku cyfrowego również pomagają zwiększyć poziom cyberbezpieczeństwa.
Zapoznaj się z naszym artykułem "Porady NIS2 dla CISO", aby zrozumieć wymagania dyrektywy i przygotować swoją firmę w odpowiednim czasie.
Oto, w jaki sposób Nomios może Ci pomóc
Czy zmagasz się ze spełnieniem rygorystycznych wymagań dotyczących cyberbezpieczeństwa? I czy uważasz, że wyzwaniem jest przygotowanie Twojej organizacji do NIS2? W takim razie chętnie Ci pomożemy. Jesteśmy uznanym specjalistą w dziedzinie cyberbezpieczeństwa i sieci, posiadamy wiedzę i rozwiązania, które pomogą Ci spełnić wymagania NIS2. Wypełnij formularz kontaktowy. Nasz opiekun handlowy skontaktuje się z Tobą aby indywidualnie dopasować najlepsze rozwiązanie dla Twojej organizacji.
Wybrane usługi i rozwiązania
Porozmawiaj z naszymi ekspertami
Chcesz dowiedzieć się więcej na ten temat? Zostaw wiadomość lub swój numer telefonu, a my oddzwonimy. Chętnie pomożemy Ci dalej.