Kontynuując wizytę na tej stronie, akceptujesz korzystanie z plików cookie zgodnie z polityką prywatności.

Dyrektywa NIS2 - Co musisz wiedzieć o najnowszych propozycjach Komisji Europejskiej

Czym jest i co oznacza dla przedsiębiorców dyrektywa NIS2? Przeczytaj, aby się dowiedzieć.

Dyrektywa NIS2 jest najnowszą odpowiedzią Unii Europejskiej na potrzebę wzmocnienia odporności cybernetycznej w różnych sektorach biznesu i administracji. Budując na fundamencie ustanowionym przez NIS1, dyrektywa NIS2 jest swego rodzaju aktualizacją i przystosowaniem do pojawiających się zagrożeń, postępu technologicznego oraz ewoluującego krajobrazu cyfrowego.

Nie masz czasu na cały artykuł?
Mamy rozwiązanie!

Przygotowaliśmy ekspresowe podsumowanie zawierające esencję najważniejszych informacji. Dostępne od ręki w zamian za dołączenie do społeczności IT Netige.

Co otrzymasz?

  • Kluczowe wnioski w 5 punktach
  • Zaoszczędzisz 15 minut czytania
  • Praktyczne wskazówki od ekspertów IT

Dołącz do profesjonalistów IT otrzymujących nasze materiały

🔒 Twoje dane są bezpieczne. W każdej chwili możesz zrezygnować z subskrypcji.

Wyzwaniem jest jej wdrożenie do 18 października 2024 roku, gdyż dyrektywa NIS2 wprowadza szereg nowych wymogów dla organizacji, w tym podejście oparte na zarządzaniu ryzykiem oraz bardziej precyzyjne przepisy dotyczące raportowania incydentów. Zmiany te obejmują również surowsze środki nadzorcze dla krajowych autorów, usprawniają egzekwowanie wymagań i dążą do ujednolicenia sankcji w państwach członkowskich, co rysuje obraz bardziej zintegrowanego i odpornego środowiska cybernetycznego w całej UE.

Główne cele dyrektywy NIS2

Dyrektywa NIS2 została przyjęta przez Parlament Europejski 10 listopada 2022 roku i weszła w życie 16 stycznia 2023 roku Oto główne cele tej dyrektywy:

  1. Harmonizacja wymagań i sankcji:
  • Dyrektywa ma na celu zharmonizowanie wymagań dotyczących cyberbezpieczeństwa oraz sankcji w państwach członkowskich UE, co ma zmniejszyć fragmentację i zwiększyć przejrzystość oraz przewidywalność praw i obowiązków.
  1. Wzmocnienie odporności i reakcji na incydenty:
  • Poprawa gotowości i kultury bezpieczeństwa wśród państw członkowskich poprzez rozwijanie zdolności reagowania na incydenty cybernetyczne.
  • Wsparcie dla Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) oraz kompetentnych krajowych autorytetów ds. systemów i sieci informatycznych.
  1. Rozszerzenie zakresu i zwiększenie odporności:
  • Dyrektywa rozszerza zakres regulacji na nowe sektory i podmioty, które mają kluczowe znaczenie dla gospodarki i społeczeństwa, zależne od ICT, takie jak energia, transport, woda, bankowość, infrastruktury rynku finansowego, opieka zdrowotna i infrastruktura cyfrowa.
  • Zwiększa odporność oraz zdolności reagowania na incydenty zarówno publicznych, jak i prywatnych podmiotów, a także wzmacnia współpracę transgranicznej i egzekwowania przestrzegania przepisów.

Te cele są odpowiedzią na nowe wyzwania stawiane przez ewoluujący krajobraz cyfrowy i zagrożenia, które ciągle się rozwijają, co wymaga stałego dostosowywania i wzmocnienia obrony cybernetycznej wewnętrznego rynku UE.

Podmioty objęte dyrektywą

Dyrektywa NIS2 znacząco rozszerza zakres regulacji, obejmując nowe sektory i wprowadzając progi wielkości określające, które podmioty podlegają jej zasadom. Oto kluczowe informacje, które pomogą Ci zrozumieć, czy Twoja organizacja jest objęta dyrektywą:

  1. Sektory i podmioty objęte dyrektywą:
  • Sektory kluczowe: Energetyka, transport, bankowość, infrastruktury rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.
  • Dodatkowe sektory: Usługi pocztowe i kurierskie, gospodarka odpadami, chemia, badania naukowe, żywność, produkcja (w tym urządzenia medyczne, produkty elektroniczne i optyczne, maszyny, pojazdy).
  • Dostawcy usług cyfrowych: Dostawcy usług DNS, rejestratory nazw TLD, dostawcy usług rejestracji nazw domen, dostawcy usług chmurowych, dostawcy usług centrów danych, dostawcy sieci CDN, dostawcy zarządzanych usług, dostawcy zarządzanych usług bezpieczeństwa, platformy rynków online, wyszukiwarek internetowych, serwisów społecznościowych, dostawcy usług zaufania.
  1. Progi wielkości dla podmiotów:
  • Podmioty kluczowe (Essential Entities, EE): Próg zatrudnienia wynosi 250 pracowników, obrót roczny 50 milionów euro lub więcej, lub bilans 43 milionów euro lub więcej.
  • Podmioty ważne (Important Entities, IE): Próg zatrudnienia wynosi 50 pracowników, obrót roczny 10 milionów euro lub więcej, lub bilans 10 milionów euro lub więcej.
  1. Wyjątki i szczególne przypadki:
  • Mniejsze firmy zatrudniające mniej niż 50 pracowników i osiągające roczny obrót poniżej 10 milionów euro zazwyczaj nie są objęte dyrektywą, jednak istnieją wyjątki dla podmiotów, które są jedynymi dostawcami krytycznych usług dla społeczeństwa lub gospodarki w danym państwie członkowskim.
  • Podmioty spoza UE oferujące usługi w Unii Europejskiej muszą wyznaczyć przedstawiciela w UE.

Nowe wymogi dla organizacji

Dyrektywa NIS2 wprowadza również sporo nowych wymogów dla organizacji. Oto kluczowe aspekty, które musisz znać:

  1. Zarządzanie ryzykiem i odpowiedzialność korporacyjna:
  • Organizacje muszą przeprowadzić szczegółowe analizy ryzyka i ustalić zdolności zarządzania incydentami.
  • Wymagane jest, aby zarządy firm aktywnie nadzorowały, zatwierdzały i były szkolone w zakresie środków cyberbezpieczeństwa. Naruszenia mogą skutkować sankcjami dla zarządu, w tym odpowiedzialnością cywilną i czasowym zakazem pełnienia funkcji zarządczych.
  1. Obowiązki raportowania i ciągłość działania:
  • Firmy muszą mieć procedury umożliwiające szybkie raportowanie incydentów bezpieczeństwa o znaczącym wpływie na świadczenie usług lub ich odbiorców, z konkretnymi terminami powiadomienia, takimi jak 24-godzinne „wczesne ostrzeżenie”.
  • Planowanie ciągłości działania w przypadku poważnych incydentów cybernetycznych, w tym odtwarzanie systemów, procedury awaryjne i organizacja zespołu reagowania kryzysowego.
  1. Bezpieczeństwo łańcucha dostaw i nowe technologie:
  • Wzmocnienie bezpieczeństwa łańcucha dostaw i relacji z dostawcami poprzez ocenę ryzyka cybernetycznego.
  • Wdrożenie wieloskładnikowego uwierzytelniania lub ciągłego uwierzytelniania, bezpiecznych komunikacji głosowych, wideo i tekstowych oraz bezpiecznych systemów komunikacji awaryjnej.

Te wymogi mają na celu poprawę ogólnej struktury zarządzania ryzykiem w organizacjach.

Zmiany w Zakresie Raportowania Incydentów

W ramach Dyrektywy NIS2, wprowadzono zaostrzone wymogi dotyczące raportowania incydentów, które mają na celu szybką reakcję oraz efektywne zarządzanie zagrożeniami cybernetycznymi. Oto kluczowe zmiany, które musisz znać:

  1. Definicja znaczącego incydentu:
  • Znaczącym incydentem jest każde zdarzenie, które znacząco wpływa na zakłócenie operacji, finansowe straty lub inne podmioty prawne w ekosystemie lub łańcuchu dostaw.
  1. Wymogi dotyczące raportowania:
  • Wstępne powiadomienie musi nastąpić w ciągu 24 godzin od wykrycia głównego zdarzenia.
  • Szczegółowy raport z wszystkimi danymi dotyczącymi incydentu należy sporządzić w ciągu 72 godzin od jego wykrycia.
  • Ostateczny raport powinien być dostarczony w ciągu jednego miesiąca od zdarzenia.
  1. Współpraca międzynarodowa i standaryzacja:
  • Dyrekcja Generalna ds. Komunikacji, Sieci, Treści i Technologii (DG CONNECT) Komisji Europejskiej oraz Departament Bezpieczeństwa Krajowego USA (DHS) rozpoczęły wspólne prace nad porównaniem elementów raportowania incydentów cybernetycznych.
  • Porównanie opiera się na zaleceniach z raportu DHS dotyczącego harmonizacji raportowania incydentów cybernetycznych do rządu federalnego oraz ramach raportowania incydentów cybernetycznych w ramach dyrektywy NIS2.

Wykorzystanie Europejskich Schematów Certyfikacji

W ramach Dyrektywy NIS2 oraz innych przepisów, takich jak Akt o Cyberbezpieczeństwie, Unia Europejska wprowadziła schematy certyfikacji cyberbezpieczeństwa, które mają na celu zwiększenie zaufania do produktów i usług ICT. Oto kluczowe informacje dotyczące tych schematów:

  1. Obowiązkowa certyfikacja dla określonych podmiotów:
  • Państwa członkowskie mogą wymagać od podmiotów istotnych (EE) i ważnych (IE) stosowania certyfikowanych produktów, usług i procesów ICT zgodnie z europejskimi schematami certyfikacji cyberbezpieczeństwa.
  • Komisja Europejska ma uprawnienia do określenia, które kategorie podmiotów muszą stosować certyfikowane produkty lub usługi ICT, lub uzyskać certyfikat zgodnie z europejskim schematem certyfikacji.
  1. Pierwszy unijny schemat certyfikacji cyberbezpieczeństwa:
  • Schemat oferuje zasady i procedury certyfikacji produktów ICT na terenie całej Unii, co zwiększa ich wiarygodność.
  • Schemat jest dobrowolny i uzupełnia Akt o Cyberodporności, który wprowadza obowiązkowe wymogi cyberbezpieczeństwa dla wszystkich produktów sprzętowych i programowych w UE.

Wpływ dyrektywy NIS2 na sektory kluczowe i ważne

Dyrektywa NIS2 ma wziąć pod swoje skrzydła kluczowe sektory, takie jak łańcuchy dostaw, produkcja żywności oraz administracja publiczna, co znacząco wpływa na sposób zarządzania bezpieczeństwem i ryzykiem w tych obszarach.

  1. Wpływ na firmy:
  • Firmy działające w kluczowych sektorach muszą dostosować swoje procedury do nowych wymogów dyrektywy NIS2, co może wiązać się z koniecznością inwestycji w lepsze systemy bezpieczeństwa i zarządzania ryzykiem.
  • Przestrzeganie dyrektywy może znacząco podnieść reputację firmy i jej konkurencyjność na rynku, dzięki demonstracji zaangażowania w zapewnienie wysokiego poziomu bezpieczeństwa.
  1. Nadzór rządowy i sankcje:
  • Podmioty istotne są poddawane surowszemu nadzorowi rządowemu i mogą spotkać się z ostrzejszymi sankcjami za nieprzestrzeganie przepisów, co podkreśla ich kluczową rolę w utrzymaniu bezpieczeństwa narodowego.
  • Podmioty ważne kontrolowane są dopiero po złożeniu skargi, co oznacza mniejsze ryzyko częstych inspekcji, ale także konieczność utrzymania ciągłej gotowości na ewentualne kontrole.
  1. Kary za niezgodność:
  • Kary finansowe: Nieprzestrzeganie dyrektywy może skutkować nałożeniem wysokich grzywien.
  • Kary niemonetarne: Możliwe są także inne formy sankcji, takie jak ograniczenia działalności czy publiczne upomnienia, które mogą wpłynąć na wizerunek firmy.

Wyzwania i możliwości związane z wdrożeniem NIS2

Dyrektywa NIS2 stawia przed państwami członkowskimi i przedsiębiorstwami zarówno wyzwania, jak i otwiera nowe możliwości.

Wyzwania:

  • Wymagania dotyczące surowszego nadzoru i egzekwowania przepisów mogą stanowić wyzwanie dla organizacji, które muszą dostosować swoje systemy zarządzania ryzykiem i bezpieczeństwem.
  • Ujednolicenie sankcji wymaga od państw członkowskich współpracy i może prowadzić do potrzeby rewizji krajowych przepisów.
  • Potencjalne sankcje finansowe mogą sięgać nawet 10 milionów euro lub 2% obrotu dla podmiotów istotnych, co stanowi znaczące ryzyko finansowe.

Możliwości:

  • Dzięki wprowadzeniu rygorystycznych wymogów, organizacje mają możliwość zwiększenia swojej odporności na cyberzagrożenia, co przekłada się na większe zaufanie klientów i partnerów biznesowych.
  • Włączenie kierownictwa firm do procesu zarządzania cyberbezpieczeństwem pozwala na lepszą integrację i zrozumienie ryzyk na najwyższych szczeblach zarządzania.
  • Dyrektywa promuje bliższą współpracę między państwami członkowskimi, co umożliwia lepsze rozumienie i reagowanie na zagrożenia, a także rozwijanie najlepszych praktyk.

NIS2, czyli ogólnoeuropejskie podejście do bezpieczeństwa

Dyrektywa NIS2, wchodząc w życie, rzuca nowe światło na kwestie cyberbezpieczeństwa, oferując jednocześnie zmienione podejście do zarządzania ryzykiem oraz nowe wymogi dla szerokiego zakresu sektorów i podmiotów. Wyznacza ona drogę do intensywniejszej współpracy i spójności na poziomie unijnym, stawia przed organizacjami wyzwania, które niosą za sobą możliwość wzmocnienia odporności cybernetycznej, a co za tym idzie - bezpieczeństwa danych i procesów.  

Nasze dokonania w obszarze wdrożenia dyrektywy NIS2 mogą okazać się decydujące dla zabezpieczenia przyszłości cyfrowej Europy, podnosząc zarówno poziom zaufania w społeczeństwie cyfrowym, jak i konkurencyjność na międzynarodowym rynku.

Poszerzenie zakresu dyrektywy, mimo że wiąże się z koniecznością dostosowania operacji i strategii przez organizacje, podkreśla wagę niezawodności i bezpieczeństwa systemów informatycznych w obecnych czasach.

Zapewnienie zgodności z NIS2 jest szansą na zwiększenie odporności oraz poprawę zarządzania ryzykiem cybernetycznym na wszystkich poziomach działalności. Zatem, w miarę zbliżania się terminu wdrożenia, organizacje powinny skupić się na wzmocnieniu swoich procedur, uwzględniając przy tym ducha współpracy i koordynacji, który dyrektywa na nowo definiuje.

Rafał Rylski
Rafał Rylski
Chief Information Officer
Netige
31/12/2024

Zdejmiemy IT z Twoich barków

Chcesz rozwijać firmę mając komfort sprawnej technologii?

76% menedżerów wskazało, że ich usługi IT są dostarczane za pośrednictwem zewnętrznych podmiotów.1

Napisz do nas 👋

CodeARM Sp. z o.o.
ul. Senatorska 31
93-192 Łódź
NIP 7292741912
KRS 0000939298

Usługi
Zarządzanie infrastrukturą
Wsparcie IT
Bezpieczeństwo Informacji

Data Care
Planowanie Ciągłości
Optymalizacja systemów

Doradztwo IT
Zarządzanie licencjami
Wsparcie Aplikacji
Pomoc Zdalna
Połączenie zdalne

1 Deloitte Global Outsourcing Survey 2022.
2 Resilience reimagined, Economist Impact & Iron Mountain, 2022

Copyright ©2023 CodeARM | Polityka Prywatności