Dyrektywa NIS2

Bezpieczeństwo danych i stabilność operacyjna firm

NIS2  to nowa dyrektywa Unii Europejskiej dotycząca zwiększenia poziomu cyberbezpieczeństwa w krajach członkowskich. Jej głównym celem jest zapewnienie spójnych regulacji oraz wzmocnienie ochrony infrastruktury krytycznej i usług kluczowych, takich jak energetyka, finanse, zdrowie czy transport.

Dyrektywa NIS2 wprowadza nowe obowiązki dla przedsiębiorstw działających w sektorach kluczowych lub ważnych i usługach cyfrowych, mające na celu wzmocnienie ich odporności na cyberzagrożenia.

Kluczowe obowiązki przedsiębiorstw

Dyrektywa NIS2 wprowadza nowe obowiązki dla przedsiębiorstw działających w sektorach kluczowych lub ważnych i usługach cyfrowych, mające na celu wzmocnienie ich odporności na cyberzagrożenia.

  • Wdrożenie odpowiednich środków bezpieczeństwa technicznego i organizacyjnego.
  • Regularne oceny ryzyka oraz aktualizacja strategii cyberbezpieczeństwa.
  • Obowiązek natychmiastowego raportowania incydentów do krajowego punktu kontaktowego.
  • Współpraca z organami nadzorczymi w zakresie zarządzania incydentami i reagowania na zagrożenia.
  • Zapewnienie odpowiednich zasobów i szkoleń dla pracowników zajmujących się cyberbezpieczeństwem.

Obieg informacji

Przestępca

Wykonuje atak na infrastrukturę cyfrową przedsiębiorstwa.

Przedsiębiorstwo

Wykrywa incydent i ocenia jego powagę. Natychmiast raportuje go do regulatora.

Regulator krajowy

Otrzymuje raport o incydencie, analizuje sytuację i monitoruje reakcję przedsiębiorstwa.

Organy
nadzorcze UE

Regulator dzieli się informacjami z odpowiednimi instytucjami w innych krajach UE, aby zminimalizować ryzyko powtórzenia incydentu w innych sektorach.

Obieg informacji

Przestępca

Wykonuje atak na infrastrukturę cyfrową przedsiębiorstwa.

Przedsiębiorstwo

Wykrywa incydent i ocenia jego powagę. Natychmiast raportuje go do regulatora.

Regulator krajowy

Otrzymuje raport o incydencie, analizuje sytuację i monitoruje reakcję przedsiębiorstwa.

Organy nadzorcze UE

Regulator dzieli się informacjami z odpowiednimi instytucjami w innych krajach UE, aby zminimalizować ryzyko powtórzenia incydentu w innych sektorach.

Kogo dotyczy NIS2?

Podmioty kluczowe

Próg wielkości różni się w zależności od sektora, ale generalnie 250 pracowników, roczny obrót 50 milionów euro lub bilans 43 milionów euro.

  • Energetyka 
  • Transport 
  • Bankowość i infrastruktura rynku finansowego
  • Administracja publiczna

  • Administracja publiczna
  • Opieka zdrowotna
  • Woda pitna i ścieki
  • Przestrzeń kosmiczna
  • Infrastruktura cyfrowa ICT

Podmioty ważne

Próg wielkości różni się w zależności od sektora, ale zazwyczaj jest to 50 pracowników, roczny obrót 10 milionów euro lub bilans 10 milionów euro.

  • Usługi pocztowe i kurierskie 
  • Gospodarowanie odpadami 
  • Przemysł chemiczny 
  • Badania naukowe 

  • Przemysł spożywczy 
  • Produkcja
  • Usługi cyfrowe 

Podmiot może w dalszym ciągu zostać uznany za kluczowy lub ważny, nawet jeśli nie spełnia kryteriów wielkości. Ma to miejsce w szczególnych przypadkach, np. gdy jest jedynym dostawcą usługi krytycznej na potrzeby działalności społecznej lub gospodarczej w państwie członkowskim.

Jeśli Twoja firma dostarcza usługi kluczowe dla powyższych sektorów, takie jak:

  • Chmura obliczeniowa
  • Infrastruktura IT
  • Telekomunikacja
  • Outsourcing usług IT i cyfrowych

Wtedy również możesz podlegać wymogom NIS2, nawet jeśli nie jesteś bezpośrednio w branży kluczowej.

Jak się przygotować?

Regularna ocena zagrożeń, które mogą dotyczyć infrastruktury cyfrowej firmy.

Implementacja odpowiednich zabezpieczeń technicznych, takich jak firewalle, systemy wykrywania włamań, szyfrowanie danych.

Zorganizowanie szkoleń dla zespołu na temat cyberbezpieczeństwa i reagowania na incydenty.

Stworzenie systemu raportowania incydentów zgodnie z wymaganiami NIS2 i przygotowanie planu awaryjnego.

Skonsultowanie się z zewnętrznymi ekspertami lub firmami specjalizującymi się w cyberbezpieczeństwie, aby upewnić się, że firma spełnia wszystkie wymagania NIS2.

Obowiązki kierownictwa

Ostateczną odpowiedzialność za zarządzanie ryzykiem cyberbezpieczeństwa w podmiotach kluczowych i ważnych ponosi kierownictwo wyższego szczebla. Niedopełnienie przez kierownictwo wymogów NIS2 może prowadzić do poważnych konsekwencji, takich jak tymczasowe zakazy działalności oraz grzywny administracyjne, zgodnie z przepisami krajowymi wykonawczymi.

Zgodność
z NIS2

Zapewnienie, że organizacja przestrzega wymogów dyrektywy NIS2 poprzez wdrożenie odpowiednich środków bezpieczeństwa cybernetycznego.

Polityka bezpieczeństwa

Ustanowienie polityki bezpieczeństwa cybernetycznego, która określa cele, procedury i zasady dotyczące ochrony danych i systemów informatycznych.

Zasoby i odpowiedzialność

Zapewnienie odpowiednich zasobów finansowych, ludzkich i technologicznych na realizację wymogów bezpieczeństwa cybernetycznego.

Ocena
ryzyka

Regularne przeprowadzanie oceny ryzyka cybernetycznego i aktualizacja strategii bezpieczeństwa w zgodzie z ewentualnymi zmianami w środowisku operacyjnym.

Zarządzanie
ryzykiem

Określenie odpowiedzialności za zarządzanie ryzykiem cybernetycznym oraz nadzór nad wdrażaniem i monitorowaniem środków bezpieczeństwa.

Współpraca z organami nadzorczymi

Współpraca z organami nadzorczymi i innymi podmiotami w celu zapewnienia zgodności z przepisami NIS2 oraz efektywnego reagowania na ewentualne incydenty cybernetyczne.

Komunikacja wewnętrzna

Komunikacja i współpraca z personelem na różnych szczeblach organizacji w celu podniesienia świadomości i zrozumienia znaczenia bezpieczeństwa cybernetycznego.

Szkolenia

Uczestnictwo w szkoleniach i doskonalenie się z zakresu bezpieczeństwa cybernetycznego, aby zrozumieć nowe zagrożenia i technologie.

Obowiązki kierownictwa

Ostateczną odpowiedzialność za zarządzanie ryzykiem cyberbezpieczeństwa w podmiotach kluczowych i ważnych ponosi kierownictwo wyższego szczebla. Niedopełnienie przez kierownictwo wymogów NIS2 może prowadzić do poważnych konsekwencji, takich jak tymczasowe zakazy działalności oraz grzywny administracyjne, zgodnie z przepisami krajowymi wykonawczymi.

Zgodność z NIS2

Zapewnienie, że organizacja przestrzega wymogów dyrektywy NIS2 poprzez wdrożenie odpowiednich środków bezpieczeństwa cybernetycznego.

Polityka bezpieczeństwa

Ustanowienie polityki bezpieczeństwa cybernetycznego, która określa cele, procedury i zasady dotyczące ochrony danych i systemów informatycznych.

Zasoby i odpowiedzialność

Zapewnienie odpowiednich zasobów finansowych, ludzkich i technologicznych na realizację wymogów bezpieczeństwa cybernetycznego.

Ocena ryzyka

Regularne przeprowadzanie oceny ryzyka cybernetycznego i aktualizacja strategii bezpieczeństwa w zgodzie z ewentualnymi zmianami w środowisku operacyjnym.

Zarządzanie ryzykiem

Określenie odpowiedzialności za zarządzanie ryzykiem cybernetycznym oraz nadzór nad wdrażaniem i monitorowaniem środków bezpieczeństwa.

Współpraca z organami nadzorczymi

Współpraca z organami nadzorczymi i innymi podmiotami w celu zapewnienia zgodności z przepisami NIS2 oraz efektywnego reagowania na ewentualne incydenty cybernetyczne.

Komunikacja wewnętrzna

Komunikacja i współpraca z personelem na różnych szczeblach organizacji w celu podniesienia świadomości i zrozumienia znaczenia bezpieczeństwa cybernetycznego.

Szkolenia

Uczestnictwo w szkoleniach i doskonalenie się z zakresu bezpieczeństwa cybernetycznego, aby zrozumieć nowe zagrożenia i technologie.

Kary za naruszenie wymogów NIS2

Podmioty kluczowe i ważne mogą zostać ukarane za:

  • Niespełnienie wymogów bezpieczeństwa
  • Niezgłoszenie incydentów

Kary mogą zostać nałożone na podmioty kluczowe oraz podmioty ważne za naruszenia takie jak niespełnienie wymogów bezpieczeństwa i niezgłoszenie incydentów. Konkretne kary będą się różnić w zależności od państwa członkowskiego, ale dyrektywa ustanawia minimalny wykaz sankcji administracyjnych za naruszenie obowiązków w zakresie zarządzania ryzykiem cybernetycznym i raportowania.

Rodzaje kar:

  • Środki niepieniężne
  • Kary administracyjne
  • Kary finansowe
    • Dla podmiotów kluczowych: Kary od 10 000 000 EUR lub 2% rocznego dochodu – w zależności, która kwota jest wyższa.
    • Dla podmiotów ważnych: Kary do 7 000 000 EUR lub 1,4% rocznego dochodu – w zależności, która kwota jest wyższa.

Sankcje karne dla kadry kierowniczej

Próbując zmniejszyć presję wywieraną na działy IT, aby samodzielnie zapewniały bezpieczeństwo organizacji i zmienić poczucie odpowiedzialności za cyberbezpieczeństwo, NIS2 zawiera nowe środki mające na celu pociągnięcie najwyższego kierownictwa do osobistej odpowiedzialności za rażące zaniedbanie w przypadku incydentu związanego z bezpieczeństwem.

W szczególności NIS2 umożliwia organom państw członkowskich pociągnięcie menedżerów organizacji do osobistej odpowiedzialności w przypadku udowodnienia rażącego zaniedbania po incydencie cybernetycznym poprzez m.in.:

  • Nakazanie organizacjom upubliczniania naruszeń zgodności.
  • Składanie publicznych oświadczeń identyfikujących osobę fizyczną i prawną odpowiedzialną za naruszenie oraz jego charakter.
  • Jeśli organizacja jest podmiotem kluczowym, w przypadku powtarzających się naruszeń poprzez tymczasowy zakaz dla danej osoby pełnienia stanowisk kierowniczych.