ASCO Cyber Security

Natychmiastowa pomoc przy ataku hakerskim

Zarządzanie incydentami cyberbezpieczeństwa z natychmiastową reakcją.

Dowiedz się więcej

Ciągle ewoluujący charakter zagrożeń wymusza regularną nowelizację przepisów z zakresu cyberbezpieczeństwa – także na poziomie prawa unijnego. Nowa dyrektywa NIS2 jest właśnie jednym z takich aktów prawnych, którym warto zainteresować się z kilku względów. Przede wszystkim obejmie ona o wiele więcej podmiotów, niż w przypadku dotychczasowych regulacji. Kolejna kwestia to fakt, że termin implementacji NIS2 został przewidziany już na październik 2024.  NIS2 – kogo dotyczy ta dyrektywa, jakie są wytyczne, co grozi za ich niedopilnowanie i jak najlepiej zaimplementować je w firmie? Na wszystkie te pytania odpowiadamy poniżej.

Czym jest dyrektywa NIS2?

Network and Information Systems Directive 2, bo takie jest rozwinięcie omawianej dyrektywy, stanowi aktualizację i rozszerzenie dotychczas obowiązującego NIS wprowadzonego w 2016 roku. Oba akty prawne dotyczą wymagań w dziedzinie cyberbezpieczeństwa, jakie stawiane są podmiotom działającym w kluczowych dla kraju dziedzinach – dotyczy to zarówno sektora prywatnego, jak i publicznego.

Celem nowej dyrektywy jest ujednolicenie i wzmocnienie poziomu cyberbezpieczeństwa w krajach członkowskich przy odgrywającej, jeszcze większej niż dotychczas, roli cyfryzacji i ewoluujących nieustannie zagrożeniach. Zakres wprowadzonych zmian jest znaczny, a czas na ich zaimplementowanie wyjątkowo krótki, dlatego właściciele firm powinni zainteresować się treścią NIS2.

Co zmienia się wraz z dyrektywą NIS2?

Wprowadzone przez NIS2 wymagania są znacznie rozszerzone względem poprzedniej dyrektywy. Oto najważniejsze z tych zmian:

  • Dwukrotne zwiększenie liczby sektorów objętych dyrektywą – 18 względem dotychczasowych 9. Nowe sektory to energetyka, transport, bankowość, finanse, branża wodno-kanalizacyjna, opieka zdrowotna, administracja publiczna, produkcja żywności. Podczas gdy w pierwszej wersji NIS do regulacji musiało się dostosować kilkaset podmiotów, w przypadku NIS2 będzie ich kilka (a nawet kilkanaście) tysięcy.
  • Wyróżnia się podział na podmioty „kluczowe” i „ważne”, które objęte są nieco innymi regulacjami. W obu przypadkach są to zwykle co najmniej średnie przedsiębiorstwa – od 50 do 250 pracowników, ale może także chodzić o małe firmy, które ze względu na charakter prowadzonej działalności obarczone są zwiększonym ryzykiem ataków.
  • Znacznie większe będą wymagania dla podmiotów objętych dyrektywą:
    • podjęte działania odnośnie zarządzania ryzykiem muszą być proporcjonalne względem wielkości podmiotu oraz ryzyka i potencjalnej dotkliwości ataku,
    • obowiązek zgłaszania incydentów naruszenia bezpieczeństwa do rządowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (w niektórych przypadkach takie zgłoszenie jest dobrowolne),
    • konieczność przeprowadzenia szkoleń z cyberbezpieczeństwa dla kadry kierowniczej (jest ono z kolei zalecane także pozostałym pracownikom),
    • konieczność informowania użytkowników usług o skutkach naruszeń bezpieczeństwa.
  • Wzmożenie kontroli przestrzegania przepisów dyrektywy przez krajowe organy nadzorcze, a także dotkliwsze kary w przypadku naruszeń.
  • Wzmocnione zostały mechanizmy współpracy międzynarodowej oraz rola Europejskiej Agencji ds. Cyberbezpieczeństwa.

Warto pamiętać, że powyższa lista stanowi jedynie ogólny zarys zmian, a szczegółowa lista wymagań, zwłaszcza ta odnosząca się do zarządzania ryzykiem, jest znacznie dłuższa.

Kogo obowiązuje dyrektywa NIS2?

Jak już wspomniano NIS2 to znaczne rozszerzenie działania dyrektywy o nowe sektory i tym samym tysiące nowych podmiotów. Jest to również podział na podmioty kluczowe i ważne. Do tych pierwszych zaliczymy:

  • podmioty o charakterze średniego przedsiębiorstwa działające w sektorze:
    • energetyki,
    • transportu,
    • bankowości,
    • infrastruktury rynków finansowych,
    • opieki zdrowotnej,
    • wody pitnej,
    • ścieków,
    • infrastruktury cyfrowej,
    • zarządzania usługami teleinformatycznymi,
    • administracji publicznej,
    • przestrzeni kosmicznej;
  • dostawców publicznych sieci łączności elektronicznej;
  • kwalifikowanych dostawców usług zaufania bez względu na wielkość;
  • niektóre ze wskazanych przez państwo podmiotów, które w innym wypadku należałyby do podmiotów ważnych;
  • podmioty krytyczne wskazane na podstawie odrębnej dyrektywy;
  • operatorów usług kluczowych, których państwo wskazało przed wejściem w życie NIS2;
  • podmioty administracji publicznej na poziomie rządowym.

Podmioty ważne obejmują natomiast sektory:

  •       usług pocztowych i kurierskich,
  •       gospodarowania odpadami,
  •       produkcji, przetwarzania i dystrybucji chemikaliów,
  •       produkcji, przetwarzania i dystrybucji żywności,
  •       szeroko rozumianej produkcji,
  •       usług cyfrowych,
  •       badań naukowych,

…a także te podmioty należące do sektorów kluczowych, które jednak nie kwalifikują się do tej kategorii np. ze względu na wielkość.

Główna różnica między tymi dwiema kategoriami podmiotów to obecność tzw. wyrywkowych kontroli przeprowadzanych przez organy nadzorcze w przypadku podmiotów kluczowych. Dodatkowo w podmiotach kluczowych konieczne jest przeprowadzanie regularnych audytów bezpieczeństwa.

NIS2 – od kiedy?

W podobny sposób jak to było przy NIS, tak również w przypadku NIS2 w Polsce ustawa obejmująca jej wytyczne musi być transponowana (czyli wdrażana na polski grunt prawny) z dochowaniem terminu 21 miesięcy od wejścia dyrektywy w życie. Termin ten mija po 17 października 2024 roku. Oznacza to, że od dnia 18 października wszystkie wytyczne NIS2 powinny być już w pełni zaimplementowane.

Mimo pewnych opóźnień legislacyjnych (które dotyczą nie tylko Polski, ale też wielu innych krajów Europy), warto pamiętać, by zadbać odpowiednio wcześniej o audyt cyberbezpieczeństwa w zakresie zgodności z nową dyrektywą.

Zmiany wprowadzane w NIS2 wykraczają ponad aktualizację założeń NIS i zakładają zarówno znaczne zwiększenie liczby obejmowanych sektorów, jak też nowe, dość rygorystyczne wymagania formalne i organizacyjne dla firm. Można zatem oczekiwać, że wiele z tych zmian będzie wprowadzanych stopniowo oraz w podstawowym zakresie, niemniej lepiej jest nie zwlekać z ich wdrażaniem.

Kary za brak wdrożenia NIS2

Jedną z zauważalnych zmian w NIS2 względem poprzednika jest obecność znacznie dotkliwszych kar dla podmiotów niespełniających założeń dyrektywy. W przypadku rażących zaniechań i naruszeń podmioty mogą spodziewać się administracyjnych kar pieniężnych w wysokości:

  • 10 milionów euro lub 2% rocznego obrotu w przypadku podmiotów kluczowych,
  • 7 milionów euro lub 1,4% rocznego obrotu w przypadku podmiotów ważnych.

W obu przypadkach kara jest zależna od tego, która z wymienionych kwot jest wyższa dla poprzedniego roku obrotowego przedsiębiorstwa.

Nie zawsze jednak naruszenia i zaniedbania kończą się dotkliwymi grzywnami – jest to raczej ostateczność. Oto niektóre z innych środków stosowanych przez organy nadzorcze do egzekwowania przepisów:

  • wystosowanie ostrzeżenia,
  • wystosowanie polecenia naprawy uchybień,
  • nakaz zaprzestania postępowania naruszającego dyrektywę,
  • nakaz zapewnienia zgodności z dyrektywą w określonym terminie,
  • nakaz poinformowania użytkowników o rodzaju zagrożenia, a także możliwych do zastosowania działań ochronnych i naprawczych,
  • nakaz podania do wiadomości publicznej informacji o fakcie naruszenia dyrektywy,
  • zawieszenie certyfikacji lub zezwolenia na świadczenie określonych usług,
  • tymczasowy zakaz pełnienia funkcji dla dyrektora generalnego lub przedstawiciela prawnego.

Jakie kroki musi podjąć Twoja firma?

Jeśli prowadzisz firmę, która kwalifikuje się do podmiotów ważnych lub kluczowych, to powinieneś odpowiednio wcześnie zadbać o dostosowanie swojej infrastruktury IT do NIS2. Działania te mogą obejmować wprowadzenie systemu zarządzania ryzykiem, rozwiązań z zakresu analizy bezpieczeństwa, a także planu ciągłości działania w sytuacjach kryzysowych.

Audyt zgodności z NIS2

NIS2 wprowadza jednak o wiele więcej wytycznych, których część będzie wymagała specjalistycznej wiedzy z zakresu cyberbezpieczeństwa. Dobrym pierwszym krokiem jest w takim wypadku audyt zgodności z NIS2. Jeśli więc chcesz przygotować się na rozległe zmiany, które niebawem wejdą w życie, to koniecznie skontaktuj się z przedstawicielem ASCO Cyber Security i zgłoś swoją firmę do kompleksowego audytu bezpieczeństwa. Możemy pomóc również w doborze, dostarczeniu i wdrożeniu odpowiednich systemów bezpieczeństwa IT. Współpracujemy również z kancelarią prawną, która pomaga w obszarze implementacji nowych przepisów, ich interpretacji oraz przygotowywania dokumentacji.

Wróć do artykułów