Dyrektywa NIS 2. Co czeka przedsiębiorców?

W styczniu 2023 roku weszła w życie dyrektywa NIS 2, która reguluje obszar cyberbezpieczeństwa w Unii Europejskiej. Państwa członkowskie, w tym oczywiście Polska, są zobowiązane do jej wdrożenia do dnia 17 października 2024 roku. Czym jest ta dyrektywa i jakie obowiązki nakłada na przedsiębiorstwa i organizacje?

O czym przeczytasz w artykule:

Czym jest dyrektywa NIS 2
Kogo obowiązuje NIS2
Podmioty kluczowe i ważne
Dyrektywa NIS2 – obowiązki przedsiębiorców
NIS2 – jakie kary dla firm?
Dyrektywa NIS2 – jak się przygotować?

Czym jest dyrektywa NIS 2

NIS 2, czyli Network and Information Security Directive 2, to unijna regulacja, której celem jest wzmocnienie ochrony cybernetycznej i zapewnienie stabilności oraz bezpieczeństwa w krajach Unii Europejskiej. Została przygotowana po to, by poprawić ochronę przed cyberatakami i przyspieszyć reagowanie na nie.

Zastępuje obowiązującą od 2016 roku dyrektywę NIS. Przestała być ona wystarczająca, ponieważ w ciągu kilku ostatnich lat w UE nastąpił znaczny rozwój cyfryzacji, także w związku z pandemią COVID-19. NIS stał się w Polsce podstawą wprowadzonej w 2018 roku ustawy o krajowym systemie cyberbezpieczeństwa.

NIS 2 obejmuje swoim zasięgiem obszary związane z identyfikacją i oceną ryzyka,
zgłaszaniem incydentów, reagowaniem na cyberzagrożenia oraz współpracą między organami regulacyjnymi i tzw. podmiotami kluczowymi i ważnymi.

Kogo obowiązuje NIS2

Dyrektywa NIS2 obowiązuje podmioty publiczne i prywatne działające w sektorach nazwanych w dyrektywie kluczowymi lub ważnymi, mające status przynajmniej średniego przedsiębiorstwa. Dotyczy zatem firm i organizacji zatrudniających co najmniej 50 osób i osiągających roczne przychody w wysokości minimum 10 milionów euro. Co ciekawe, w odróżnieniu od dyrektywy NIS, NIS2 może też objąć mikro i małe przedsiębiorstwa. Muszą one jednak spełnić określone kryteria, czyli np. świadczyć kluczowe usługi lub odgrywać kluczową rolę w społeczeństwie czy gospodarce (na tyle ważną, że zakłócenia w dostawie ich usług miałyby wpływ na np. bezpieczeństwo publiczne).

Podmioty kluczowe i ważne

W dyrektywie NIS2 Unia Europejska odeszła od podziału na operatorów usług kluczowych i dostawców usług cyfrowych. Zamiast tego wprowadziła dwie nowe kategorie – podmiotów kluczowych i ważnych.

Sektory kluczowe:

1. Energetyka – energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz, wodór
2. Transport – transport lotniczy, transport kolejowy, transport wodny, transport drogowy
3. Bankowość
4. Infrastruktura rynków finansowych
5. Opieka zdrowotna
6. Woda pitna
7. Ścieki
8. Infrastruktura cyfrowa, w tym: dostawcy punktu wymiany ruchu internetowego, dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw, rejestry nazw TLD, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zaufania, dostawcy publicznych sieci łączności elektronicznej, dostawcy publicznie dostępnych usług łączności elektronicznej
9. Zarządzanie usługami ICT, w tym dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa
10. Podmioty administracji publicznej
11. Przestrzeń kosmiczna

Sektory ważne:

1. Usługi pocztowe i kurierskie
2. Gospodarowanie odpadami
3. Produkcja, wytwarzanie i dystrybucja chemikaliów
4. Produkcja, przetwarzanie i dystrybucja żywności
5. Produkcja, w tym wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana, produkcja pojazdów samochodowych, przyczep i naczep, produkcja pozostałego sprzętu transportowego
6. Dostawcy usług cyfrowych, w tym dostawcy internetowych platform handlowych, dostawcy wyszukiwarek internetowych, dostawcy platform usług sieci społecznościowych
7. Badania naukowe

Dyrektywa NIS2 – obowiązki przedsiębiorców

Przepisy dyrektywy wymieniają minimalne środki niezbędne do tego, by ograniczyć ryzyko wystąpienia incydentu bezpieczeństwa. Należą do nich:

• analiza ryzyka i bezpieczeństwa systemów informatycznych,
• obsługa incydentu,
• ciągłość działania, np. zarządzanie kopiami zapasowymi i zarządzanie kryzysowe,
• bezpieczeństwo łańcucha dostaw,
• bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie,
• polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
• praktyki cyberhigieny oraz szkolenia w zakresie cyberbezpieczeństwa,
• polityki i procedury stosowania kryptografii oraz, szyfrowania,
• bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami,
• w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego.

I choć muszą je zastosować wszystkie podmioty należące do sektorów kluczowego i ważnego, już sposób realizacji tych wytycznych (np. rodzaj używanej kryptografii) powinien być dostosowany do poziomu ryzyka w danej firmie czy organizacji.

Wszystkie przedsiębiorstwa objęte dyrektywą NIS2 są też zobowiązane do raportowania incydentów bezpieczeństwa. Co ważne, raportować należy wystąpienie nie tylko incydentów, ale też wszelkich zagrożeń, które dopiero mogą do nich doprowadzić.

Na zgłoszenie incydentu firmy mają 24 godziny od jego odkrycia. Dodatkowo maksymalnie w ciągu miesiąca muszą także przedstawić sprawozdanie końcowe, zawierające:

• szczegółowy opis incydentu, w tym jego dotkliwości i skutków,
• rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu,
• zastosowane i wdrażane środki ograniczające ryzyko,
• w stosownych przypadkach transgraniczne skutki incydentu.

NIS2 – jakie kary dla firm?

Firmy, które nie dostosują się do nowych przepisów i wprowadzonych przez nie wymagań, muszą spodziewać się kar pieniężnych w wysokości:

– W przypadku podmiotów kluczowych –co najmniej 10 000 000 euro lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa (zastosowana zostanie kwota wyższa).

– W przypadku podmiotów ważnych – co najmniej 7 000 000 euro lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa (zastosowana zostanie kwota wyższa).

Dyrektywa NIS2 – jak się przygotować?

Choć ostateczny kształt ustawy, która wprowadzi w Polsce dyrektywę NIS2, nie jest jeszcze znany, firmy już teraz mogą przygotować się na jej wejście w życie.

– Najważniejsze jest sprawdzenie, na ile firma należąca do grupy podmiotów kluczowych lub ważnych spełnia wymagania dyrektywy. Na początku warto zatem zrobić przegląd wdrożonych systemów, polityk i procedur. Czy na pewno pozwalają one na zminimalizowanie ryzyka wystąpienia incydentu? Jeśli czegoś brakuje, teraz jest czas na wybranie i wdrożenie rozwiązań – czy to z obszaru wykrywania i reagowania na incydenty, czy zabezpieczania dostępu do zasobów, czy też monitorowania sieci. Ważne jest też przygotowanie planów działań na wypadek cyberataku i przeprowadzenie szkoleń wśród pracowników. Im szybciej firmie wykona te kroki, tym łatwiej będzie jej się dostosować do nowych przepisów – mówi Krzysztof Andrian, prezes zarządu Concept Data.

 

Jeśli chcesz sprawdzić, czy Twoja firma jest gotowa na dyrektywę NIS2, napisz do nas: info@conceptdata.pl. Nasi eksperci mogą przeprowadzić audyt środowiska IT z naciskiem na zarządzanie tożsamością i ochronę kluczowych zasobów informacyjnych w firmie. Rzetelny raport i analiza As-Is to dobry punkt startowy, abyśmy mogli doradzić, jakich rozwiązań brakuje.