Przewodnik po NIS2 w Polsce: Wszystko, co musisz wiedzieć

Co reprezentuje ta dyrektywa?

Dyrektywa NIS2 (NIS = Network and Information System) jest kontynuacją obecnie obowiązującej dyrektywy NIS (w sprawie środków zapewniających wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych w UE) i rozszerza jej zakres w związku z coraz intensywniejszą cyfryzacją. Dyrektywa NIS2 weszła w życie w połowie stycznia 2023 r. i wymaga od Poland, a także innych państw członkowskich UE, zmiany przepisów krajowych do początku stycznia 2025 r.

Zasadnicza zmiana w porównaniu z NIS dotyczy głównie postrzegania ryzyka i zagrożeń cybernetycznych. Wzajemne powiązania funkcjonowania społeczeństwa jako całości i organizacji (firm) w jego ramach są już tak duże, że praktycznie nie ma branży, w której systemy informatyczne nie odgrywałyby istotnej roli. Z tego powodu nawet dyrektywa NIS2 nie szuka już systemów ważnych dla firmy, ale wymaga zabezpieczenia wszystkiego, co jest związane ze świadczeniem usług niezbędnych do jej funkcjonowania.

Dyrektywa NIS2 wprowadza zatem wiele zmian w zakresie cyberbezpieczeństwa i znacznie rozszerza liczbę organizacji, które zostaną objęte nowymi regulacjami.

 

Kiedy NIS2 ma zastosowanie do Twojej organizacji?

Organizacja podlega przepisom dyrektywy NIS2, jeśli spełnia następujące 2 warunki:

• Świadczy co najmniej jedną usługę regulowaną wymienioną w załącznikach do dyrektywy NIS2.
• Jest to średnie lub duże przedsiębiorstwo. W zależności od wielkości organizacji i znaczenia regulowanej usługi, będą one podlegać wyższym lub niższym obowiązkom.

Nowa regulacja będzie miała zatem wpływ na szeroki krąg podmiotów, dla których będzie stanowić istotne obciążenie finansowe i administracyjne. W związku z tym z pewnością należy jak najszybciej rozpocząć planowanie finansowe, które uwzględni wypełnienie obowiązków nałożonych przez proponowaną ustawę o cyberbezpieczeństwie.

Podmioty zobowiązane będą musiały podjąć środki techniczne i organizacyjne w celu zarządzania zagrożeniami bezpieczeństwa. Środki techniczne mogą polegać np. na stosowaniu odpowiedniego oprogramowania (np. antywirusowego), monitorowaniu podatności i segmentacji sieci, wprowadzeniu uwierzytelniania wieloskładnikowego. Środki organizacyjne oznaczają natomiast stworzenie dokumentacji - zasad dotyczących procedur wewnętrznych (np. procesu wdrażania nowego pracownika, zakładania kont, zarządzania incydentami bezpieczeństwa itp.)

Podmioty zobowiązane muszą spełniać kryteria określone w proponowanym dekrecie. Firmy muszą na nowo przeprowadzić tak zwaną samoidentyfikację = dowiedzieć się, czy są obowiązkowym podmiotem usług regulowanych i do jakiej kategorii obowiązków się zaliczają. Następnie muszą zgłosić się (zarejestrować) na stronie NÚKIB i zostaną zarejestrowane. Za niedopełnienie tego obowiązku grozi wysoka grzywna!

Nowe obowiązki dla organizacji

Podmioty obowiązkowe będą musiały skupić się na

• obowiązkową edukację najwyższego kierownictwa organizacji oraz większą odpowiedzialność kierownictwa za zapewnienie cyberbezpieczeństwa w organizacji. Jeżeli najwyższe kierownictwo regulowanej organizacji konsekwentnie uchyla się od wypełniania obowiązków prawnych wynikających z projektu ustawy o cyberbezpieczeństwie i rozporządzeń wykonawczych do niej, regulator może nakazać zawieszenie funkcji kierowniczej.
• obowiązek zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa,
• analiza ryzyka i polityka bezpieczeństwa informacji,
• zarządzanie incydentami,
• ciągłość działań (tj. ciągłość biznesowa), podczas gdy dyrektywa dalej rozwija ten obszar na przykładzie tworzenia kopii zapasowych, odzyskiwania danych (odzyskiwania po awarii) i 
• zarządzania kryzysowego,
• bezpieczeństwo łańcucha dostaw,
• bezpieczeństwo w ramach zamówień, rozwoju i utrzymania systemów,
• polityki i procedury oceny skuteczności środków bezpieczeństwa (tj. audytu).
• podstawowe praktyki higieny komputerowej i edukacja w zakresie cyberbezpieczeństwa,
• polityki i procedury dotyczące korzystania z kryptografii i, w stosownych przypadkach, szyfrowania.
• bezpieczeństwo zasobów ludzkich, zarządzanie dostępem i zasobami oraz korzystanie z uwierzytelniania wieloskładnikowego
• podmioty będą podlegać grzywnom za nieprzestrzeganie nałożonych obowiązków

Zasadą wdrażania tych środków bezpieczeństwa jest kierowanie organizacją w celu mapowania jej środowiska, identyfikowania wszystkiego, czego potrzebuje, aby zapewnić działanie regulowanej usługi, oceny ryzyka (nie tylko cybernetycznego), które może zagrozić usłudze i wdrożenia odpowiednich środków, dzięki którym ryzyko to zmniejszy się do akceptowalnego poziomu.