Symfonia. Biznes gotowy na zmiany

Wymogi dyrektywy NIS-2

Redakcja

Redakcja

Długość czytania:

14 października 2024

16 stycznia 2023 roku weszła w życie dyrektywa NIS-2, której celem jest zwiększenie ochrony przed cyberzagrożeniami w organizacjach na terenie UE. Jakie są główne założenia dokumentu, które sektory są objęte nowymi regulacjami i jakie obowiązki nakłada na nie dyrektywa?

Spis treści:

NIS-2 – dyrektywa. Co to jest?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to kontynuacja i rozszerzenie dyrektywy NIS z 2016 roku, czyli pierwszego europejskiego prawa związanego z cyberbezpieczeństwem. Pełna nazwa dyrektywy to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.

Definicja i cel NIS-2

Dyrektywa NIS 2 jest odpowiedzią na nieproporcjonalną, niewystarczającą odporność na cyberzagrożenia wśród krajów członkowskich Unii Europejskiej. Stanowi ona dokument prawno-regulacyjny zawierający standardy w zakresie bezpieczeństwa informatycznego, które muszą spełnić wszystkie państwa członkowskie UE w celu zmniejszenia zagrożeń. Głównym celem dyrektywy jest wzrost poziomu bezpieczeństwa sieci oraz systemów informatycznych. Wdrożenie jej zaleceń może pomóc w ochronie i zwiększeniu odporności na cyberzagrożenia, a tym samym – zmniejszyć ilość i samo ryzyko incydentów. To z kolei ma szansę wpłynąć na zaufanie klientów czy partnerów biznesowych.

Przeczytaj również: 5 największych zagrożeń dla bezpieczeństwa danych w firmie

Zakres stosowania NIS-2

W nowej dyrektywie został rozszerzony zakres podmiotów, które są objęte regulacjami – NIS 2 obejmuje więcej sektorów gospodarki niż pierwotny dokument NIS.

Sektory objęte dyrektywą

NIS-2 rozszerza definicje sektorów oraz podmiotów krytycznych, które są objęte regulacjami z zakresu cyberbezpieczeństwa i dotyczy takich sektorów jak: żywność, woda pitna, zdrowie, administracja publiczna, energię, ścieki, transport, bankowość i finanse, infrastruktura rynku finansowego, infrastruktura cyfrowa, przestrzeń kosmiczna. Przedsiębiorcy zostali podzieleni na dwie kategorie:

  • podmioty ważne, czyli important entities – firmy z branży produkcji, przetwarzania i dystrybucji chemikaliów, produkcji, przetwarzania i dystrybucji żywności, gospodarowania odpadami, badań naukowych, usług cyfrowych, usług pocztowych i kurierskich czy produkcji ogółem;
  • podmioty kluczowe, czyli essential entities – firmy z sektora energetyki, transportu, bankowości, infrastruktury rynków finansowych, opieki zdrowotnej, sektora wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT, administracji publicznej czy przestrzeni kosmicznej.

W porównaniu z pierwszą wersją dyrektywy zakres został rozszerzony o operatorów platform cyfrowych oraz dostawców usług chmurowych i internetowych (wspomniana infrastruktura cyfrowa). Dzięki tak dużej ilości sektorów objętych NIS-2 ogólny poziom bezpieczeństwa w całej Unii Europejskiej ma szansę się zwiększyć.

Kryteria kwalifikacyjne dla przedsiębiorstw

Nowe regulacje dotyczą wszystkich firm, które już teraz są uznawane za jednostki krytyczne.

Co więcej, dyrektywa uwzględnia małe i średnie przedsiębiorstwa:

  • należące do wymienionych wyżej sektorów;
  • zatrudniające przynajmniej 50 pracowników;
  • osiągające roczny obrót w wysokości 10 milionów euro lub większej.

Większe firmy, które zatrudniają mniej niż 250 pracowników i osiągają roczne obroty nieprzekraczające 50 milionów euro, nie mają natomiast obowiązku wprowadzania zmian.

Przeczytaj również: Ksef a cyberbezpieczeństwo (symfonia.pl)

Wymogi i obowiązki nałożone przez NIS-2

W związku ze wdrożeniem dyrektywy NIS-2 na organizacje zostały nałożone nowe obowiązki – m.in.:

  • regularna ocena ryzyka;
  • wdrażanie środków zaradczych, polityki bezpieczeństwa i narzędzi „security”;
  • stworzenie procesów zarządzania incydentami oraz procedur ich zgłaszania;
  • zagwarantowanie ciągłości działania w razie awarii i po niej;
  • systematyczne przeprowadzanie audytów i testów bezpieczeństwa;
  • sprawdzanie zgodności z NIS2 za pomocą audytów;
  • udział w szkoleniach i zwiększanie świadomości oraz wiedzy personelu;
  • odpowiedzialność za bezpieczeństwo w łańcuchu dostaw.

Podmioty objęte dyrektywą będą dotyczyły bardziej restrykcyjne wymagania związane z zarządzaniem lukami w zabezpieczeniach czy testowaniem poziomu bezpieczeństwa.

Czy Twoja firma jest gotowa na KSeF? 

Pobierz poradnik i przygotuj się!

Zarządzanie ryzykiem cyberbezpieczeństwa

W związku z zapisami dyrektywy to na kierownictwie przedsiębiorstwa będzie leżała odpowiedzialność za zgodność ze środkami zarządzania ryzykiem w bezpieczeństwie cyfrowym. NIS2 wymaga wprowadzenia polityk zarządzania ryzykiem cybernetycznym, które skupią się nie tylko wokół analizy ryzyka, ale również reagowania na incydenty, szyfrowania, zabezpieczania łańcucha dostaw, kryptografii czy szkoleń w temacie cyberbezpieczeństwa.

Zgłaszanie incydentów i współpraca z organami

NIS-2 wymaga od przedsiębiorców zgłaszania wszelkich incydentów, w tym powiadomienia odpowiednich organów o incydencie:

  • w ciągu pierwszych 24 godzin;
  • po upływie 72 godzin;
  • miesiąc od zdarzenia.

Organy zarządzające będą zatem zobligowane do nadzorowania i zatwierdzania incydentów oraz środków zarządzania ryzykiem cyberbezpieczeństwa. W związku z tym ich członkowie będą musieli przejść niezbędne szkolenia z zakresu zagrożeń bezpieczeństwa cyfrowego i związanych z nimi praktyk.

Sankcje i konsekwencje nieprzestrzegania NIS-2

Znowelizowana dyrektywa wprowadza konkretne przepisy związane z sankcjami i karami za naruszenie jej przepisów.

Rodzaje sankcji przewidzianych w dyrektywie

W przypadku podmiotów nazywanych kluczowymi nieprzestrzeganie zasad zarządzania ryzykiem bądź zgłaszania incydentów może skutkować nałożeniem kar administracyjnych w wysokości:

  • do 10 milionów euro;
  • 2% łącznego obrotu z całego roku.

Podmioty określone jako ważne mogą natomiast otrzymać karę grzywny w wysokości:

  • 7 milionów euro;
  • 1,4% całego rocznego obrotu.

W dyrektywie znajdują się również zapisy o okresowych karach pieniężnych i sankcjach karnych z tytułu naruszenia przepisów.

Wpływ na działalność operacyjną przedsiębiorstw

Nieprzestrzeganie NIS 2 może mieć bezpośredni wpływ na funkcjonowanie przedsiębiorstwa. Firmy, które nie będą spełniać wymagań dyrektywy, będą widocznie odstawać – w negatywnym tego słowa znaczeniu – na tle innych organizacji, które zadbają o skuteczną ochronę przed cyberzagrożeniami, co wpłynie na ich ogólną reputację. Najgorszą konsekwencją nieprzestrzegania nowych wymogów będzie jednak znacznie zwiększone ryzyko cyberataków wymierzonych w stronę danej firmy – a te skutkują już utratą ważnych, poufnych danych czy poważnymi stratami finansowymi.

Wdrożenie NIS-2 w Polsce

Dyrektywa NIS-2 weszła w życie w styczniu 2023 roku, z kolei na termin wdrożenia nowych regulacji wyznaczono 17 października 2024 roku. Po tej dacie nowe wymagania będą obowiązywały w każdym państwie Unii Europejskiej, a więc i w Polsce.

Stan prawny i przygotowania do wdrożenia

23 kwietnia 2024 roku został udostępniony projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa i niektórych innych ustaw, mającej wdrożyć dyrektywę NIS 2 do polskich przepisów. Polskie firmy mają jeszcze dwa miesiące na przygotowanie polityki bezpieczeństwa, określenie konkretnych procedur i wdrożenie odpowiednich narzędzi związanych z NIS-2. Mimo że brakuje jeszcze wyraźnych krajowych przepisów, warto już dziś ocenić gotowość firmy do podstawowych wymogów dyrektywy. Chcąc właściwie przygotować się do zmian, przedsiębiorstwa powinny skupić się przede wszystkim na:

  • analizie potrzeb i ocenie stanu bezpieczeństwa systemów informatycznych stosowanych do świadczenia usług;
  • opracowaniu koncepcji systemu, który umożliwi skuteczne zarządzanie ryzykiem;
  • automatyzacji procesów przy użyciu nowoczesnego oprogramowania do zarządzania ryzykiem;
  • przeszkoleniu kierownictwa i pozostałych pracowników.

Przeczytaj również: Prowadzisz nowoczesne biuro rachunkowe? Sprawdź jak usprawnić swoją pracę – Symfonia

Wyzwania i możliwości dla polskich firm

Wdrożenie środków bezpieczeństwa związanych z dyrektywą NIS-2 wiąże się z pewnymi wyzwaniami. To m.in. fakt, że zarówno opracowanie strategii, jak i implementacja skutecznych środków ochrony przed cyberzagrożeniami, leży po stronie przedsiębiorstwa – a liczba dostępnych na rynku rozwiązań nie ułatwia wyboru konkretnego narzędzia. Dużym wyzwaniem są również ograniczone koszty, braki w personelu, a ponadto – konieczność stworzenia całkiem nowych procesów i procedur, i to w zaledwie 60 dni. Dobrym krokiem może się w tym przypadku okazać kontakt z doświadczonym doradcą, który pomoże stworzyć koncepcję systemu ochrony przed zagrożeniami i zadba o to, aby uwzględniała ona wszystkie założenia dyrektywy.

Cyfrowe horyzonty księgowości: Transformacja cyfrowa biur rachunkowych

Pobierz bezpłatny poradnik

Przeglądaj tematy tego artykułu:

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *