Kontakt
Cyberbezpieczeństwo w kontekście dyrektywy NIS2

Dyrektywa NIS2 – co to jest i jak wpływa na cyberbezpieczeństwo?

Unia Europejska w związku z rozprzestrzeniającymi się zagrożeniami w internecie postanowiła wprowadzić nowe regulacje cyberbezpieczeństwa związane z dyrektywą NIS2. Nowelizacja tego aktu prawnego wejdzie w życie w październiku 2024 roku i obejmie znacznie szerszą grupę organizacji w odniesieniu do bezpieczeństwa funkcjonowania w przestrzeni cyfrowej. Zobacz, kogo obejmuje dyrektywa, a także jakie wymagania i obowiązki będą stosowane wobec podmiotów gospodarczych i instytucji publicznych w Polsce.

Spis treści:

  1. Dyrektywa NIS2 – co to takiego i dlaczego musisz o niej wiedzieć?
  2. Rozporządzenie NIS2, a cyberbezpieczeństwo. Jaki jest cel?
  3. Wprowadzenie NIS2 – co zmienia względem NIS?
    1. Dyrektywa NIS 2 – wymagania i obowiązki
  4. Dyrektywa NIS2 – kogo dotyczy?
    1. Czy Twoja firma podlega pod NIS2? Jak to sprawdzić?
  5. Ustawa NIS2 – od kiedy w Polsce?
  6. Wdrożenie NIS2 krok po kroku – checklista
  7. NIS2 – kary za niedostosowanie się do przepisów
  8. Przyszłość cyberbezpieczeństwa a NIS

Dyrektywa NIS2 – co to takiego i dlaczego musisz o niej wiedzieć?

Jeśli chodzi o przepisy NIS2 dyrektywa to dokument prawno-regulacyjny, który zawiera ogólne standardy dotyczące zasad cyberbezpieczeństwa. Zagadnienia obejmują przede wszystkim jednostki krytyczne w kontekście funkcjonowania całego bezpieczeństwa Unii Europejskiej.

NIS2, czyli Network and Information Systems Directive 2 to obecnie aktualizacja pierwotnej dyrektywy wprowadzonej w 2016 roku. Na ten moment akt prawny określa zupełnie nowe zasady bezpieczeństwa dla operatorów usług kluczowych dla sektora publicznego oraz prywatnego np. w energetyce, bankowości i opiece zdrowotnej.

Kraje członkowskie UE na implementację wymagań ustawowych mają czas do 17 października 2024 roku. To ostateczny termin, w którym nowe regulacje cyberbezpieczeństwa zgodne z NIS2 muszą zacząć obowiązywać we wszystkich krajach przynależnych do UE.

Rozporządzenie NIS2, a cyberbezpieczeństwo. Jaki jest cel?

Głównym celem wdrożenia regulacji powiązanych z cyberbezpieczeństwem w ramach dyrektywy NIS2 jest określenie minimalnych przepisów, do których muszą dostosować się państwa członkowskie. Ma to na celu ograniczenie ryzyka występowania incydentów powiązanych z atakami hakerskimi, wyłudzeniami danych oraz zaburzeniami ogólnego bezpieczeństwa społeczeństwa w danym kraju członkowskim – regulacje obejmują zarówno podmioty publiczne, firmy, jak i obywateli.

Unia Europejska wprowadziła nowe regulacje w związku ze wzmożoną liczbą ataków cyberprzestępców na infrastruktury sieci informatycznych w obrębie przedsiębiorstw i instytucji publicznych. Nowe regulacje mają poprawić ciągłość działań z zakresu bezpieczeństwa sieci i urządzeń komputerowych, a także umożliwić szybsze przywracanie danych i systemów po atakach hakerskich.

Dodatkowo przepisy dyrektywy NIS2 mają z założenia poprawiać ciągłość łańcuchów dostaw. Kiedy podmioty gospodarcze zostaną objęte jednolitymi przepisami, wtedy zmniejszy się realne ryzyku kradzieży i wycieku poufnych informacji np. o kontrahentach.

Wprowadzenie NIS2 – co zmienia względem NIS?

Najważniejsze zmiany w odniesieniu do dyrektywy NIS2 to przede wszystkim:

  • wprowadzenie minimalnych wymogów bezpieczeństwa w nowych sektorach i branżach,
  • ustanowienie ogólnych zasad raportowania incydentów związanych z zagrożeniami cyberbezpieczeństwa w państwach członkowskich UE,
  • ujednolicenie współpracy państw członkowskich w zakresie cyberbezpieczeństwa,
  • wprowadzenie nowych sankcji za nieprzestrzeganie przepisów NIS2 w Polsce i w innych krajach UE.

W praktyce rozporządzenie NIS2 jest rozszerzeniem wcześniejszych regulacji ustanowionych przez Unię Europejską. Dokładne zmiany, które wchodzą w życie wraz z nadejściem nowelizacji dyrektywy NIS2 przedstawiamy w tabeli.

Tabela 1: Porównanie dyrektywy NIS i NIS2.

Kategoria

NIS

NIS2

Zakres podmiotowy

Obejmuje operatorów kluczowych usług oraz dostawców usług cyfrowych.

Znacznie rozszerza zakres na więcej sektorów (np. żywność, administracja publiczna). Wprowadza podział na „istotne” i „ważne” podmioty.

Wymogi zarządzania ryzykiem

Ogólne wymagania, pozostawione w dużym stopniu krajom członkowskim.

Surowsze wymogi, nacisk na bezpieczeństwo łańcuchów dostaw, ryzyko związane z dostawcami zewnętrznymi oraz bardziej szczegółowe wytyczne dotyczące zarządzania ryzykiem.

Zgłaszanie incydentów

Brak jasnych ram czasowych, zgłaszanie „znaczących” incydentów.

Ścisłe wymagania: pierwsze zgłoszenie w ciągu 24 h, szczegółowy raport po 72 h, pełny raport do miesiąca.

Harmonizacja przepisów

Implementacja w krajach członkowskich prowadziła do fragmentacji.

Większa jednolitość wdrożenia i egzekwowania przepisów we wszystkich państwach członkowskich.

Odpowiedzialność zarządów

Odpowiedzialność zarządów była mniej formalna.

Zarządy są bezpośrednio odpowiedzialne za zgodność z wymogami cyberbezpieczeństwa, mogą być pociągnięte do odpowiedzialności w przypadku niezgodności.

Kary za niezgodność

Sankcje różne w zależności od państwa członkowskiego.

Wyższe, jednolite kary do 10 mln euro lub 2% globalnego obrotu dla „istotnych” podmiotów i 7 mln euro lub 1,4% dla „ważnych” podmiotów.

NIS2 wprowadza znacznie bardziej szczegółowe regulacje i kładzie większy nacisk na zarządzanie ryzykiem i odpowiedzialność łańcuchów dostaw. Takie działania mają zapewnić lepszą ochronę przed zagrożeniami cybernetycznymi. Wprowadzony został również znacznie surowszy system kar dla państw członkowskich, które nie dostosują się do nowych wymogów cyberbezpieczeństwa.

Dyrektywa NIS 2 – wymagania i obowiązki

Nowa dyrektywa NIS2 wprowadza spore zmiany w kwestii wymogów bezpieczeństwa i zasad raportowania incydentów związanych z bezpieczeństwem cybernetycznym. Niezbędne wymogi obejmujące państwa członkowskie i podmioty uwzględnione w akcie prawnym to:

  • wdrożenie nowoczesnych systemów wykrywania i reagowania na zagrożenia w sieci,
  • stworzenie planów zarządzania kryzysowego,
  • przeprowadzenie audytów bezpieczeństwa np. w instytucjach publicznych i finansowych,
  • konieczność opracowania tzw. Planu Ciągłości Działania,
  • wdrożenie polityki i procedur związanych z zarządzaniem systemami teleinformatycznymi.

Oprócz powyższych niezbędne jest też wprowadzenie regulacji umożliwiających szybkie odzyskiwanie danych utraconych po atakach hakerskich, a także ujednolicenie systemów w taki sposób, aby ułatwić instytucjom nadzorczym weryfikację czy podmiot spełnia określone normy wynikające z przepisów NIS2.

Co więcej, firmy i instytucje publiczne będą zobligowane do zmiany zasad raportowania incydentów związanych z cyberbezpieczeństwem. Firmy muszą również opracować plany ciągłości działania, zadbać o bezpieczeństwo łańcucha dostaw, a zarządy są zobowiązane do aktywnego nadzoru nad kwestiami bezpieczeństwa. Przepisy te wprowadzają także surowsze sankcje i wymogi certyfikacyjne, zapewniając ścisłą współpracę z krajowymi i międzynarodowymi organami nadzorczymi.

Dyrektywa NIS2 – kogo dotyczy?

Dokument NIS2 obejmuje też podmioty, które dotychczas nie były uwzględnione w starszej wersji ustawy. To m.in. działalności powiązane z takimi branżami, jak:

  • energetyka,
  • transport,
  • opieka zdrowotna,
  • branża wod-kan,
  • bankowość i finanse,
  • administracja publiczna,
  • przestrzeń kosmiczna,
  • produkcja żywności,
  • ogólna infrastruktura cyfrowa.

Co więcej, dyrektywa NIS2 zakwalifikowała do nowych regulacji także branże powiązane z produkcją żywności, organizacje badawcze, dostawców usług cyfrowych, a także firmy produkujące chemikalia i odpowiedzialne za zagospodarowanie odpadów.

Czy Twoja firma podlega pod NIS2? Jak to sprawdzić?

Jeśli chcesz dowiedzieć się, czy Twoja firma podlega pod przepisy związane z dyrektywą NIS2 spróbuj odpowiedzieć na kilka pytań związanych bezpośrednio z nowymi regulacjami w zakresie cyberbezpieczeństwa.

  • W jakiej branży działa Twoje przedsiębiorstwo?

Jeśli firma jest związana z branżami wymienionymi w regulacjach NIS2 np. energetyka, operatorzy usług cyfrowych, transport, a także bankowość, wtedy musisz dostosować wewnętrzne procedury do wymogów unijnej dyrektywy.

  • Czy prowadzisz platformę internetową?

Regulacje NIS2 obejmują usługi chmurowe, platformy online, a także usługi wyszukiwarek internetowych. Tutaj obowiązują regulacje związane z zarządzaniem ryzykiem.

  • Ilu pracowników zatrudnia przedsiębiorstwo?

Jeśli mniej niż 50 osób w firmie, wtedy przedsiębiorstwo nie musi martwić się o wdrożenie nowych procedur.

  • Jakie są roczne obroty/suma bilansowa firmy?

W tym przypadku kluczowe są trzy poziomy: do 10 mln euro, do 50 mln euro i powyżej 50 mln euro.

Jeśli chodzi o NIS2 wymagania dla przedsiębiorców i instytucji publicznych są dość proste. Odpowiadając na powyższe pytania, łatwo sprawdzisz, czy Twoja firma podlega pod nowe regulacje.

W przypadku konieczności wdrożenia zmian w cyberbezpieczeństwie przedsiębiorstwa warto wziąć pod uwagę usługi outsourcingowe, w ramach których można zoptymalizować koszty i poprawić poziom bezpieczeństwa cybernetycznego w firmie.

Ustawa NIS2 – od kiedy w Polsce?

Zgodnie ze wskazaniami rządu nowe regulacje związane z Ustawą NIS2 wejdą w życie od 17 października 2024 roku. Od tego momentu zacznie obowiązywać podział przedsiębiorców na podmioty kluczowe oraz ważne, które różnią się między sobą poziomem nadzoru oraz wysokościami kar za niedopełnienie przepisów.

Wdrożenie NIS2 krok po kroku – checklista

Zgodnie z NIS2 średnie, małe i mikro firmy muszą wdrożyć odpowiednie i proporcjonalne środki techniczne i operacyjne w przedsiębiorstwie, a także zgłaszać wszelkie incydenty związane z cyberbezpieczeństwem.

Wdrożenie zasad wynikających z dyrektywy NIS2 2 firmie to kilka prostych kroków.

  1. Zacznij od przeanalizowania swojej działalności na podstawie kodów NANCE i powiązania z NIS2. W ten sposób ustalisz środki bezpieczeństwa, które wymagają wdrożenia.
  2. Przedstaw plan wdrożenia kadrze zarządzającej firmą. Warto uwzględnić konsekwencje prawne i finansowe związane z niedopełnieniem formalności wynikających z regulacji NIS2.
  3. Zaplanuj metody zarządzania ryzykiem. W kontekście cyberbezpieczeństwa trzeba przeanalizować obszary, które wymagają poprawy i optymalizacji, aby usprawnić implementację NIS2.
  4. Zacznij wdrożenie po opracowaniu projektu uwzględnionego w budżecie przedsiębiorstwa.
  5. Zgłaszaj wszelkie incydenty cybernetyczne w firmie do odpowiednich organów i monitoruj sprawność funkcjonowania wdrożonych rozwiązań.

Przeprowadzaj też cykliczne szkolenia pracowników i kadry zarządzającej, aby ujednolicić znajomość przepisów NIS2 w firmie.

NIS2 – kary za niedostosowanie się do przepisów

Nowe regulacje powodują, że polska ustawa NIS2 wymusza na przedsiębiorcach konieczność samodzielnej weryfikacji czy podmiot podlega pod nowe przepisy. W przypadku niedostosowania się do regulacji prawnych związanych z cyberbezpieczeństwem obowiązują kary do 10 mln euro lub 2% rocznych przychodów przedsiębiorstwa. Najniższa kara, jaka może zostać nałożona za niedostosowanie się do przepisów to 20 tys. złotych.

W praktyce wysokość kar jest inna dla podmiotów kluczowych, a inna dla podmiotów ważnych. Dla pierwszych max. to 10 mln euro, natomiast dla podmiotów ważnych to 7 mln euro. 

Przyszłość cyberbezpieczeństwa a NIS2

Dyrektywa NIS2 wprowadza zaostrzone wymogi dotyczące zarządzania ryzykiem oraz raportowania incydentów. To ma kluczowe znaczenie w obliczu rosnących zagrożeń cybernetycznych, takich jak ataki hakerskie, wycieki danych i zaburzenia łańcuchów dostaw. 

Dzięki rozszerzeniu regulacji na nowe sektory i podmioty NIS2 nie tylko uszczelnia działania związane z cyberbezpieczeństwem, ale także przygotowuje przedsiębiorstwa i instytucje publiczne na przyszłe zagrożenia, poprzez lepszą współpracę międzynarodową i surowszy system sankcji za niezgodność z przepisami.