Co reprezentuje ta dyrektywa?
Dyrektywa NIS2 (NIS = Network and Information System) jest kontynuacją obecnie obowiązującej dyrektywy NIS (w sprawie środków zapewniających wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych w UE) i rozszerza jej zakres w związku z coraz intensywniejszą cyfryzacją. Dyrektywa NIS2 weszła w życie w połowie stycznia 2023 r. i wymaga od Poland, a także innych państw członkowskich UE, zmiany przepisów krajowych do początku stycznia 2025 r.
Zasadnicza zmiana w porównaniu z NIS dotyczy głównie postrzegania ryzyka i zagrożeń cybernetycznych. Wzajemne powiązania funkcjonowania społeczeństwa jako całości i organizacji (firm) w jego ramach są już tak duże, że praktycznie nie ma branży, w której systemy informatyczne nie odgrywałyby istotnej roli. Z tego powodu nawet dyrektywa NIS2 nie szuka już systemów ważnych dla firmy, ale wymaga zabezpieczenia wszystkiego, co jest związane ze świadczeniem usług niezbędnych do jej funkcjonowania.
Dyrektywa NIS2 wprowadza zatem wiele zmian w zakresie cyberbezpieczeństwa i znacznie rozszerza liczbę organizacji, które zostaną objęte nowymi regulacjami.
Rozszerzenie regulacji na podmioty świadczące usługi ważne dla funkcjonowania państwa
Zwiększenie poziomu cyberbezpieczeństwa i odporności
Wspólna komunikacja i koordynacja w zakresie cyberbezpieczeństwa w całej UE
Poprawa zdolności podmiotów zobowiązanych do reagowania na incydenty cyberbezpieczeństwa
Poprawa zdolności podmiotów zobowiązanych do przygotowania się i reagowania w przypadku incydentu lub kryzysu na dużą skalę
Kiedy NIS2 ma zastosowanie do Twojej organizacji?
Organizacja podlega przepisom dyrektywy NIS2, jeśli spełnia następujące 2 warunki:
- Świadczy co najmniej jedną usługę regulowaną wymienioną w załącznikach do dyrektywy NIS2.
- Jest to średnie lub duże przedsiębiorstwo. W zależności od wielkości organizacji i znaczenia regulowanej usługi, będą one podlegać wyższym lub niższym obowiązkom.
Nowa regulacja będzie miała zatem wpływ na szeroki krąg podmiotów, dla których będzie stanowić istotne obciążenie finansowe i administracyjne. W związku z tym z pewnością należy jak najszybciej rozpocząć planowanie finansowe, które uwzględni wypełnienie obowiązków nałożonych przez proponowaną ustawę o cyberbezpieczeństwie.
Podmioty zobowiązane będą musiały podjąć środki techniczne i organizacyjne w celu zarządzania zagrożeniami bezpieczeństwa. Środki techniczne mogą polegać np. na stosowaniu odpowiedniego oprogramowania (np. antywirusowego), monitorowaniu podatności i segmentacji sieci, wprowadzeniu uwierzytelniania wieloskładnikowego. Środki organizacyjne oznaczają natomiast stworzenie dokumentacji - zasad dotyczących procedur wewnętrznych (np. procesu wdrażania nowego pracownika, zakładania kont, zarządzania incydentami bezpieczeństwa itp.)
Podmioty zobowiązane muszą spełniać kryteria określone w proponowanym dekrecie. Firmy muszą na nowo przeprowadzić tak zwaną samoidentyfikację = dowiedzieć się, czy są obowiązkowym podmiotem usług regulowanych i do jakiej kategorii obowiązków się zaliczają. Następnie muszą zgłosić się (zarejestrować) na stronie NÚKIB i zostaną zarejestrowane. Za niedopełnienie tego obowiązku grozi wysoka grzywna!
Nowe obowiązki dla organizacji
Podmioty obowiązkowe będą musiały skupić się na
- obowiązkową edukację najwyższego kierownictwa organizacji oraz większą odpowiedzialność kierownictwa za zapewnienie cyberbezpieczeństwa w organizacji. Jeżeli najwyższe kierownictwo regulowanej organizacji konsekwentnie uchyla się od wypełniania obowiązków prawnych wynikających z projektu ustawy o cyberbezpieczeństwie i rozporządzeń wykonawczych do niej, regulator może nakazać zawieszenie funkcji kierowniczej.
- obowiązek zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa,
- analiza ryzyka i polityka bezpieczeństwa informacji,
- zarządzanie incydentami,
- ciągłość działań (tj. ciągłość biznesowa), podczas gdy dyrektywa dalej rozwija ten obszar na przykładzie tworzenia kopii zapasowych, odzyskiwania danych (odzyskiwania po awarii) i
- zarządzania kryzysowego,
- bezpieczeństwo łańcucha dostaw,
- bezpieczeństwo w ramach zamówień, rozwoju i utrzymania systemów,
- polityki i procedury oceny skuteczności środków bezpieczeństwa (tj. audytu).
- podstawowe praktyki higieny komputerowej i edukacja w zakresie cyberbezpieczeństwa,
- polityki i procedury dotyczące korzystania z kryptografii i, w stosownych przypadkach, szyfrowania.
- bezpieczeństwo zasobów ludzkich, zarządzanie dostępem i zasobami oraz korzystanie z uwierzytelniania wieloskładnikowego
- podmioty będą podlegać grzywnom za nieprzestrzeganie nałożonych obowiązków
Zasadą wdrażania tych środków bezpieczeństwa jest kierowanie organizacją w celu mapowania jej środowiska, identyfikowania wszystkiego, czego potrzebuje, aby zapewnić działanie regulowanej usługi, oceny ryzyka (nie tylko cybernetycznego), które może zagrozić usłudze i wdrożenia odpowiednich środków, dzięki którym ryzyko to zmniejszy się do akceptowalnego poziomu.
Jak możemy ci pomóc?
- Poprzez monitorowanie nadchodzących zmian w ustawodawstwie w dziedzinie cyberbezpieczeństwa oraz wyjaśnianie zmian i obowiązków, które z nich wynikają.
- Wyjaśniając wynikające z tego obowiązki w kluczowych obszarach, takich jak plan ciągłości działania, zarządzanie łańcuchem dostaw, zarządzanie ryzykiem, zarządzanie incydentami
- Przegląd dokumentacji bezpieczeństwa, przepisów wewnętrznych i odpowiednich procesów
- Zarządzanie ryzykiem i pomoc w kontrolach oraz reprezentacja w postępowaniach przed organami nadzoru
Przygotuj się wcześnie, aby zwiększyć swoją gotowość i konkurencyjność
Niezależnie od tego, czy przepisy NIS2 mają na ciebie wpływ, czy nie, inwestycja w bezpieczeństwo organizacji jest niższa niż straty wynikające z wpływu ewentualnego incydentu cybernetycznego na działalność i reputację firmy.
Bądź pewien bezpieczeństwa swojego systemu
Uzyskaj wskazówki z zakresu bezpieczeństwa od profesjonalistów. Skontaktuj się z nami już dziś, aby umówić się na bezpłatną 30-minutową konsultację z jednym z naszych ekspertów.
Bądź pewien bezpieczeństwa swojego systemu
Uzyskaj wskazówki z zakresu bezpieczeństwa od profesjonalistów. Skontaktuj się z nami już dziś, aby umówić się na bezpłatną 30-minutową konsultację z jednym z naszych ekspertów.