Długość czytania:
16 stycznia 2023 roku weszła w życie dyrektywa NIS-2, której celem jest zwiększenie ochrony przed cyberzagrożeniami w organizacjach na terenie UE. Jakie są główne założenia dokumentu, które sektory są objęte nowymi regulacjami i jakie obowiązki nakłada na nie dyrektywa?
Spis treści:
- NIS-2 – dyrektywa. Co to jest?
- Wymogi i obowiązki nałożone przez NIS-2
- Sankcje i konsekwencje nieprzestrzegania NIS-2
- Wdrożenie NIS-2 w Polsce
NIS-2 – dyrektywa. Co to jest?
Dyrektywa NIS2 (Network and Information Systems Directive 2) to kontynuacja i rozszerzenie dyrektywy NIS z 2016 roku, czyli pierwszego europejskiego prawa związanego z cyberbezpieczeństwem. Pełna nazwa dyrektywy to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.
Definicja i cel NIS-2
Dyrektywa NIS 2 jest odpowiedzią na nieproporcjonalną, niewystarczającą odporność na cyberzagrożenia wśród krajów członkowskich Unii Europejskiej. Stanowi ona dokument prawno-regulacyjny zawierający standardy w zakresie bezpieczeństwa informatycznego, które muszą spełnić wszystkie państwa członkowskie UE w celu zmniejszenia zagrożeń. Głównym celem dyrektywy jest wzrost poziomu bezpieczeństwa sieci oraz systemów informatycznych. Wdrożenie jej zaleceń może pomóc w ochronie i zwiększeniu odporności na cyberzagrożenia, a tym samym – zmniejszyć ilość i samo ryzyko incydentów. To z kolei ma szansę wpłynąć na zaufanie klientów czy partnerów biznesowych.
Przeczytaj również: 5 największych zagrożeń dla bezpieczeństwa danych w firmie
Zakres stosowania NIS-2
W nowej dyrektywie został rozszerzony zakres podmiotów, które są objęte regulacjami – NIS 2 obejmuje więcej sektorów gospodarki niż pierwotny dokument NIS.
Sektory objęte dyrektywą
NIS-2 rozszerza definicje sektorów oraz podmiotów krytycznych, które są objęte regulacjami z zakresu cyberbezpieczeństwa i dotyczy takich sektorów jak: żywność, woda pitna, zdrowie, administracja publiczna, energię, ścieki, transport, bankowość i finanse, infrastruktura rynku finansowego, infrastruktura cyfrowa, przestrzeń kosmiczna. Przedsiębiorcy zostali podzieleni na dwie kategorie:
- podmioty ważne, czyli important entities – firmy z branży produkcji, przetwarzania i dystrybucji chemikaliów, produkcji, przetwarzania i dystrybucji żywności, gospodarowania odpadami, badań naukowych, usług cyfrowych, usług pocztowych i kurierskich czy produkcji ogółem;
- podmioty kluczowe, czyli essential entities – firmy z sektora energetyki, transportu, bankowości, infrastruktury rynków finansowych, opieki zdrowotnej, sektora wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT, administracji publicznej czy przestrzeni kosmicznej.
W porównaniu z pierwszą wersją dyrektywy zakres został rozszerzony o operatorów platform cyfrowych oraz dostawców usług chmurowych i internetowych (wspomniana infrastruktura cyfrowa). Dzięki tak dużej ilości sektorów objętych NIS-2 ogólny poziom bezpieczeństwa w całej Unii Europejskiej ma szansę się zwiększyć.
Kryteria kwalifikacyjne dla przedsiębiorstw
Nowe regulacje dotyczą wszystkich firm, które już teraz są uznawane za jednostki krytyczne.
Co więcej, dyrektywa uwzględnia małe i średnie przedsiębiorstwa:
- należące do wymienionych wyżej sektorów;
- zatrudniające przynajmniej 50 pracowników;
- osiągające roczny obrót w wysokości 10 milionów euro lub większej.
Większe firmy, które zatrudniają mniej niż 250 pracowników i osiągają roczne obroty nieprzekraczające 50 milionów euro, nie mają natomiast obowiązku wprowadzania zmian.
Przeczytaj również: Ksef a cyberbezpieczeństwo (symfonia.pl)
Wymogi i obowiązki nałożone przez NIS-2
W związku ze wdrożeniem dyrektywy NIS-2 na organizacje zostały nałożone nowe obowiązki – m.in.:
- regularna ocena ryzyka;
- wdrażanie środków zaradczych, polityki bezpieczeństwa i narzędzi „security”;
- stworzenie procesów zarządzania incydentami oraz procedur ich zgłaszania;
- zagwarantowanie ciągłości działania w razie awarii i po niej;
- systematyczne przeprowadzanie audytów i testów bezpieczeństwa;
- sprawdzanie zgodności z NIS2 za pomocą audytów;
- udział w szkoleniach i zwiększanie świadomości oraz wiedzy personelu;
- odpowiedzialność za bezpieczeństwo w łańcuchu dostaw.
Podmioty objęte dyrektywą będą dotyczyły bardziej restrykcyjne wymagania związane z zarządzaniem lukami w zabezpieczeniach czy testowaniem poziomu bezpieczeństwa.
Czy Twoja firma jest gotowa na KSeF?
Pobierz poradnik i przygotuj się!
Wypełnij poniższy formularz, aby uzyskać dostęp do wybranych materiałów
Zarządzanie ryzykiem cyberbezpieczeństwa
W związku z zapisami dyrektywy to na kierownictwie przedsiębiorstwa będzie leżała odpowiedzialność za zgodność ze środkami zarządzania ryzykiem w bezpieczeństwie cyfrowym. NIS2 wymaga wprowadzenia polityk zarządzania ryzykiem cybernetycznym, które skupią się nie tylko wokół analizy ryzyka, ale również reagowania na incydenty, szyfrowania, zabezpieczania łańcucha dostaw, kryptografii czy szkoleń w temacie cyberbezpieczeństwa.
Zgłaszanie incydentów i współpraca z organami
NIS-2 wymaga od przedsiębiorców zgłaszania wszelkich incydentów, w tym powiadomienia odpowiednich organów o incydencie:
- w ciągu pierwszych 24 godzin;
- po upływie 72 godzin;
- miesiąc od zdarzenia.
Organy zarządzające będą zatem zobligowane do nadzorowania i zatwierdzania incydentów oraz środków zarządzania ryzykiem cyberbezpieczeństwa. W związku z tym ich członkowie będą musieli przejść niezbędne szkolenia z zakresu zagrożeń bezpieczeństwa cyfrowego i związanych z nimi praktyk.
Sankcje i konsekwencje nieprzestrzegania NIS-2
Znowelizowana dyrektywa wprowadza konkretne przepisy związane z sankcjami i karami za naruszenie jej przepisów.
Rodzaje sankcji przewidzianych w dyrektywie
W przypadku podmiotów nazywanych kluczowymi nieprzestrzeganie zasad zarządzania ryzykiem bądź zgłaszania incydentów może skutkować nałożeniem kar administracyjnych w wysokości:
- do 10 milionów euro;
- 2% łącznego obrotu z całego roku.
Podmioty określone jako ważne mogą natomiast otrzymać karę grzywny w wysokości:
- 7 milionów euro;
- 1,4% całego rocznego obrotu.
W dyrektywie znajdują się również zapisy o okresowych karach pieniężnych i sankcjach karnych z tytułu naruszenia przepisów.
Wpływ na działalność operacyjną przedsiębiorstw
Nieprzestrzeganie NIS 2 może mieć bezpośredni wpływ na funkcjonowanie przedsiębiorstwa. Firmy, które nie będą spełniać wymagań dyrektywy, będą widocznie odstawać – w negatywnym tego słowa znaczeniu – na tle innych organizacji, które zadbają o skuteczną ochronę przed cyberzagrożeniami, co wpłynie na ich ogólną reputację. Najgorszą konsekwencją nieprzestrzegania nowych wymogów będzie jednak znacznie zwiększone ryzyko cyberataków wymierzonych w stronę danej firmy – a te skutkują już utratą ważnych, poufnych danych czy poważnymi stratami finansowymi.
Wdrożenie NIS-2 w Polsce
Dyrektywa NIS-2 weszła w życie w styczniu 2023 roku, z kolei na termin wdrożenia nowych regulacji wyznaczono 17 października 2024 roku. Po tej dacie nowe wymagania będą obowiązywały w każdym państwie Unii Europejskiej, a więc i w Polsce.
Stan prawny i przygotowania do wdrożenia
23 kwietnia 2024 roku został udostępniony projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa i niektórych innych ustaw, mającej wdrożyć dyrektywę NIS 2 do polskich przepisów. Polskie firmy mają jeszcze dwa miesiące na przygotowanie polityki bezpieczeństwa, określenie konkretnych procedur i wdrożenie odpowiednich narzędzi związanych z NIS-2. Mimo że brakuje jeszcze wyraźnych krajowych przepisów, warto już dziś ocenić gotowość firmy do podstawowych wymogów dyrektywy. Chcąc właściwie przygotować się do zmian, przedsiębiorstwa powinny skupić się przede wszystkim na:
- analizie potrzeb i ocenie stanu bezpieczeństwa systemów informatycznych stosowanych do świadczenia usług;
- opracowaniu koncepcji systemu, który umożliwi skuteczne zarządzanie ryzykiem;
- automatyzacji procesów przy użyciu nowoczesnego oprogramowania do zarządzania ryzykiem;
- przeszkoleniu kierownictwa i pozostałych pracowników.
Przeczytaj również: Prowadzisz nowoczesne biuro rachunkowe? Sprawdź jak usprawnić swoją pracę – Symfonia
Wyzwania i możliwości dla polskich firm
Wdrożenie środków bezpieczeństwa związanych z dyrektywą NIS-2 wiąże się z pewnymi wyzwaniami. To m.in. fakt, że zarówno opracowanie strategii, jak i implementacja skutecznych środków ochrony przed cyberzagrożeniami, leży po stronie przedsiębiorstwa – a liczba dostępnych na rynku rozwiązań nie ułatwia wyboru konkretnego narzędzia. Dużym wyzwaniem są również ograniczone koszty, braki w personelu, a ponadto – konieczność stworzenia całkiem nowych procesów i procedur, i to w zaledwie 60 dni. Dobrym krokiem może się w tym przypadku okazać kontakt z doświadczonym doradcą, który pomoże stworzyć koncepcję systemu ochrony przed zagrożeniami i zadba o to, aby uwzględniała ona wszystkie założenia dyrektywy.
Cyfrowe horyzonty księgowości: Transformacja cyfrowa biur rachunkowych
Pobierz bezpłatny poradnik
Wypełnij poniższy formularz, aby pobrać e-book
Przeglądaj tematy tego artykułu:
Rekomendowany kolejny artykuł:
0 komentarzy