NIS2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, to odpowiedź na coraz poważniejsze zagrożenia cyfrowe. Wzmacnia ochronę kluczowych sektorów gospodarki przed cyberprzestępczością, obejmując wszystkie państwa członkowskie.
Najważniejsze zmiany obejmują:
- Rozszerzenie zakresu podmiotów objętych dyrektywą
- Określenie minimalnych wymagań dotyczących zabezpieczeń
- Zaostrzenie wymogów oraz sankcji związanych z incydentami
- Nałożenie obowiązków dotyczących bezpieczeństwa łańcucha dostaw
Państwa członkowskie muszą dostosować krajowe przepisy do NIS2 do 17 października 2024 roku. Przepisy wejdą w życie dzień później, 18 października. Ministerstwo Cyfryzacji planuje przyjęcie stosownej ustawy w trzecim kwartale 2024 roku.
Jak przygotować się na obowiązki wynikające z NIS2
NIS2 niesie ze sobą szereg obowiązków dotyczących zapewnienia cyberbezpieczeństwa, zarządzania ryzykiem i zgłaszania incydentów.
W pierwszej kolejności należy jednak, we własnym zakresie, przeprowadzić ocenę, czy w oparciu o wskazane kryteria dany podmiot podlega obowiązkom wynikającym z NIS2.
Przepisy NIS2 obejmą średnie lub duże przedsiębiorstwa (zatrudniające co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro) zaliczające się do:
- Sektorów kluczowych: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczna
- Sektorów ważnych: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i wytwarzanie oraz dystrybucja chemikaliów, produkcja i przetwarzanie oraz dystrybucja żywności, produkcja, dostawcy usług cyfrowych, badania naukowe
Dodatkowo regulacje NIS2 mogą objąć małe przedsiębiorstwa i mikroprzedsiębiorstwa, jeżeli pełnią one kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.
NIS2 obowiązki, procedury i standardy
W przypadku spełnienia powyższych kryteriów konieczne będzie spełnienie określonych wymagań. Zarządzania ryzykiem: Podmioty muszą wdrażać odpowiednie środki techniczne i organizacyjne, aby chronić swoje sieci i systemy przed cyberzagrożeniami
- Zgłaszania incydentów: Istnieje obowiązek szybkiego raportowania poważnych incydentów do właściwych organów oraz informowania klientów o potencjalnych zagrożeniach
- Analizy zagrożeń: Regularne oceny ryzyka są konieczne, aby identyfikować i reagować na nowe zagrożenia
- Współpracy z organami: Podmioty muszą aktywnie uczestniczyć w wymianie informacji o zagrożeniach
- Szkoleń: Pracownicy i kadra zarządzająca powinni regularnie uczestniczyć w szkoleniach zwiększających świadomość w zakresie cyberbezpieczeństwa
Co istotne, NIS2 przewiduje również obowiązki po stronie Zarządu. Organy zarządzające podmiotów kluczowych i ważnych powinny bowiem zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie oraz nadzorować ich stosowanie.
Ich członkowie zostaną natomiast objęci obowiązkiem odbywania regularnych szkoleń w celu zdobycia wiedzy i umiejętności pozwalających im rozpoznawać ryzyko, oceniać praktyki zarządzania cyberzagrożeniami oraz ich wpływu na świadczone usługi. Będą także musieli oferować podobne szkolenia swoim pracownikom.
Uprawnienia organów nadzoru i sankcje
NIS2 przyznaje szereg uprawnień organom nadzoru w celu kontrolowania i egzekwowania nowych regulacji.
To m.in. audyty, obowiązek udzielenia niezbędnych informacji, zalecenie lub nakazanie zapewnienia zgodności z treścią dyrektywy, zaniechania określonego działania czy wydanie nakazu wprowadzenia zaleceń z przeprowadzonego audytu. W przypadku podmiotów kluczowych, gdy ww. środki będą nieskuteczne – tymczasowe zawieszenie certyfikacji, zezwolenia na usługi lub działalność oraz nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w danym podmiocie.
Zaostrzeniu ulegną również kary finansowe za brak realizacji nałożonych obowiązków.
- W przypadku podmiotów kluczowych, do 10 mln EUR lub 2 proc. łącznego rocznego obrotu
- W przypadku podmiotów ważnych do 7 mln EUR lub 1,4 proc. łącznego rocznego obrotu
Dyrektywa NIS2 istotnie zmienia podejście do cyberbezpieczeństwa w Unii Europejskiej.
Można zaryzykować stwierdzenie, że znacząco zmieni poziom świadomości w tym kontekście w wielu sektorach. Dla części podmiotów przebrnięcie przez jej wymagania może okazać się nie lada wyzwaniem. Dlatego już dzisiaj zapraszamy do kontaktu – chętnie pomożemy przejść ten proces.
Masz pytania? Skontaktuj się z nami
