Dyrektywa NIS2 – DYREKTYWA (UE) 2022/2555 PARLAMENTU EUROPEJSKIEGO I RADY z dnia 14 grudnia 2022 r. zakłada:
W dobie postępującej digitalizacji priorytetem jest zapewnienie bezpieczeństwa danych i systemów informatycznych. Dyrektywa NIS2 stanowi kolejny krok Unii Europejskiej w kierunku wzmocnienia ochrony infrastruktury krytycznej. Czym dokładnie jest wprowadzona w 2023 roku dyrektywa NIS2? Jakie zmiany wprowadza i jakie obowiązki nakłada na operatorów usług kluczowych? Przyjrzyjmy się bliżej nowym przepisom i zadaniom, które czekają przedsiębiorstwa działające w cyfrowym świecie.
Dyrektywa NIS2, będąca nowelizacją pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa NIS, ma na celu dostosowanie w całej Unii Europejskiej standardów bezpieczeństwa informatycznego do nowych zagrożeń cyfrowych. Zaktualizowana dyrektywa ma podnosić wymogi związane z zarządzaniem ryzykiem, usprawniać reagowanie na zdarzenia w zakresie cyberbezpieczeństwa oraz narzucać obowiązki związane z raportowaniem incydentów bezpieczeństwa.
Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument prawno-regulacyjny ustanawiający ogólne standardy w zakresie cyberbezpieczeństwa jednostek krytycznych dla funkcjonowania społeczeństwa UE. Stanowi aktualizacje pierwotnej dyrektywy NIS z 2016 roku i jest odpowiedzią na zmieniający się krajobraz cyfrowy oraz coraz bardziej zaawansowane ataki cybernetyczne. NIS2 określa nowe zasady bezpieczeństwa dla operatorów usług kluczowych zarówno w sektorze publicznym, jak i prywatnym, działających w takich obszarach jak energetyka, bankowość czy opieka zdrowotna.
Pełna nazwa NIS2 brzmi:
„DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”.
Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku, a termin implementacji nowych wymagań mija 17 października 2024 roku. Po upływie tego terminu, nowe przepisy będą obowiązywać we wszystkich krajach Unii Europejskiej.
Dyrektywa NIS2, względem pierwszej wersji dokumentu, wprowadza między innymi następujące zmiany:
W znowelizowanej dyrektywie poszerzono zakresu podmiotów objętych regulacjami, obejmując więcej sektorów gospodarki.
W NIS2 rezygnuje się z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego klasyfikuje organizacje według ich znaczenia oraz dzieli je na podmioty kluczowe i podmioty ważne.
Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz umożliwia elastyczne podejście w identyfikacji mniejszych firm o wysokim profilu ryzyka.
Znowelizowany dokument nakłada na podmioty nowe obowiązki, takie jak wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, implementację polityki bezpieczeństwa systemów, zabezpieczenie łańcuchów dostaw czy opracowanie Planu Ciągłości Działania.
Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie. Na przykład, podmioty kluczowe i ważne będą miały obowiązek zgłaszania poważnych incydentów do właściwego CSIRT (lub innego organu) w określonych terminach. Organizacje te mogą również zostać zobowiązane do powiadomienia swoich klientów o wystąpieniu zdarzenia, a w szczególnych sytuacjach nawet o samym zagrożeniu.
Uprawnienia organów nadzorczych w zakresie kontroli i egzekwowania przepisów
Dyrektywa NIS2 nadaje organom nadzorczym rozległe uprawnienia do kontroli i egzekwowania przepisów. Wśród nich znajdują się między innymi:
Szczegółowy zakres uprawnień będzie różnił się w zależności od tego, czy działania dotyczyć będą podmiotów kluczowych czy ważnych. W przypadku niedostosowania się do dyrektywy przez te pierwsze, organy nadzorcze będą miały możliwość tymczasowego zawieszenia certyfikacji, zezwolenia na świadczenie usług czy prowadzenia działalności.
Nowa dyrektywa NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, dzieląc je na podmioty kluczowe i podmioty ważne. Dyrektywa obejmuje średnie przedsiębiorstwa z sektorów publicznych i prywatnych z państw członkowskich UE.
Dokument NIS2 wprowadza także podmioty, które nie były objęte pierwszą wersją dyrektywy. Prognozy wskazują, że zobowiązanych do dostosowania swoich standardów bezpieczeństwa do nowych przepisów będzie w Polsce kilka tysięcy firm. Nowa dyrektywa rozszerza katalog organizacji o takie branże jak:
Podmioty kluczowe wg NIS2 (zgodnie z załącznikiem I dyrektywy):
Podmioty ważne wg NIS2 (zgodnie z załącznikiem II dyrektywy):
Znowelizowana dyrektywa NIS2 wprowadza precyzyjne przepisy dotyczące nakładania kar pieniężnych i sankcji za naruszenie jej przepisów. W przypadku podmiotów kluczowych za złamanie zasad zarządzania ryzykiem lub zgłaszania incydentów, mogą zostać nałożone kary administracyjne sięgające nawet 10 mln euro lub 2% łącznego rocznego obrotu. Podmioty ważne mogą zostać ukarane grzywną w wysokości 7 mln euro lub 1,4% łącznego rocznego obrotu.
Dyrektywa NIS2 przewiduje także możliwość nakładania okresowych kar pieniężnych, aby wymusić przestrzeganie przepisów oraz wprowadza sankcje karne z tytułu naruszenia przepisów dyrektywy.
Pierwszym krokiem audyt bezpieczeństwa
Jeśli Twoja firma zalicza się do grona podmiotów kluczowych lub ważnych, to zgodnie z unijnymi przepisami, musisz podjąć konkretne działania, aby dostosować się do nowych standardów i uniknąć kar związanych z ich naruszeniem. Po pierwsze powinieneś przeprowadzić audyt systemy informacyjnego, który pozwoli na określenie poziomu bezpieczeństwa i zgodności z nowymi wymaganiami NIS2, a także wskaże obszary wymagające poprawy.
Zgodnie z dyrektywną organizacje muszą opracować Plan Ciągłości Działania oraz wdrożyć odpowiednie rozwiązania z zakresu zarządzania ryzykiem i analizy bezpieczeństwa. Zabezpieczenie infrastruktury cyfrowej, zapewnienie zgodności z dyrektywą NIS2 oraz świadome podejście do zarządzania incydentami to kluczowe elementy wdrażania nowych przepisów.
Implementacja tych wymagań, to złożony proces, wymagający staranności i eksperckiej wiedzy z zakresu cyberbezpieczeństwa. Dlatego nasi doświadczeni specjaliści chętnie udzielą profesjonalnego wsparcia, dostosowując Twoją organizację do wymagań dyrektywy NIS2 oraz przeprowadzając audyt zgodności z nowymi przepisami. Opracujemy spersonalizowane rozwiązania, idealnie dopasowane do potrzeb Twojego przedsiębiorstwa – niezależnie od branży, w której działasz i poziomu stosowanych zabezpieczeń.
Dzięki przedstawionym poniżej rozwiązaniom ze stajni IBM uda się osiągnięcie wysokiego poziomu bezpieczeństwa. Sprawdź przydatne rozwiązania:
Chcesz wiedzieć więcej? Napisz do nas na os**@os**.pl.
Chcesz wykonać analizę ryzyka ASM? Zarejestruj się na Demo IBM Randori ASM – przejdź do strony z formularzem rejestracji
Zachęcamy!