NIS2
Wszystko, co IT musi wiedzieć
NIS2 robi zawrotną karierę. Nowa dyrektywa jest ostatnio wymieniana w bardzo wielu opracowaniach, artykułach czy wystąpieniach. Zastanawiasz się, jak się w tym połapać? Jak łatwo i szybko dowiedzieć się tego, co ważne z punktu widzenia IT? Tu znajdziesz wszystko, co potrzebne, by zaplanować i wdrożyć nowe przepisy w Twojej organizacji.
Czym jest NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument, który ustanawia ogólne standardy w zakresie cyberbezpieczeństwa. Dyrektywa obejmuje instytucje i firmy, które są określone jako kluczowe z punktu widzenia funkcjonowania społeczeństwa.
NIS2 to aktualizacja dyrektywy NIS z 2016 roku. W Polsce jej wymogi były realizowane przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która również jest aktualizowana. Dyrektywa została uchwalona, jako odpowiedź na zmiany w cyfrowym krajobrazie i coraz bardziej zaawansowane ataki cybernetyczne.
NIS2 określa nowe zasady bezpieczeństwa dla dostawców usług kluczowych. Zapisy NIS2 obejmują zarówno instytucje publiczne, jak i firmy prywatne. Przykładowe obszary działalności tych podmiotów to: energetyka, bankowość czy opieka zdrowotna.
Jakie najważniejsze zmiany zawiera NIS2?
NIS2 rozszerza zakres podmiotów i obejmuje więcej sektorów gospodarki.
Dokument nakłada na podmioty nowe obowiązki, takie jak:
wdrożenie rozwiązań z zakresu analizy i zarządzania ryzykiem,
implementację polityki bezpieczeństwa systemów,
zabezpieczenie łańcuchów dostaw,
opracowanie Planu Ciągłości Działania.
Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie.
Nakłada odpowiedzialność na osoby na stanowiskach kierowniczych. Za niespełnienie wytycznych NIS2 odpowiadają także osoby zarządzające.
NIS2 rezygnuje z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego wprowadza podział na podmioty kluczowe i ważne.
Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz może objąć podmioty, które są podwykonawcami lub dostawcami tych firm.
Kogo obejmuje NIS2?
Prognozy wskazują, że NIS2 obejmie w Polsce około kilkudziesięciu tysięcy organizacji. Nowa dyrektywa rozszerza katalog o następujące podmioty, które zaliczają się do firm średnich i dużych*:
Podmioty kluczowe
Energetyka
Transport
Bankowość
i infrastruktura rynków finansowych
Ochrona zdrowia
Zaopatrzenie w wodę pitną i jej dystrybucja
Ścieki
Infrastruktura cyfrowa
Zarządzanie usługami ICT
Przestrzeń kosmiczna
Podmioty ważne
Usługi pocztowe
Gospodarowanie odpadami
Dostawcy usług cyfrowych
Badania naukowe
Co ważne, NIS2 wprowadza obowiązek przeprowadzenia oceny ryzyka dla wszystkich bezpośrednich dostawców i podwykonawców.
NIS2 nakłada również obowiązki związanie z monitorowaniem i sprawdzaniem bezpieczeństwa łańcucha dostaw. Do tej kategorii należą:
proces wykrywania i reagowania na incydenty bezpieczeństwa jak i technologie wspierające
cykliczne testy penteracyjne i audyty bezpieczeństwa
zarządzanie podatnościami
kontrola bezpieczeństwa procesu tworzenia oprogramowania u dostawcy
obowiązek analizy ryzyka związanej z dostawcami
Może wystąpić więc sytuacja, gdy firma nie objęta NIS2, która jest dostawcą organizacji objętej dyrektywą, będzie musiała także dostosować się do NIS2.
Do kiedy jest czas na przygotowanie się?
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa na podstawie NIS2 powinna zostać uchwalona w terminie do 17 października 2024. Od momentu uznania firmy za podmiot kluczowy lub ważny, ma ona na wdrożenie systemu zarządzania bezpieczeństwem informacji 6 miesięcy.
Biorąc pod uwagę harmonogram pracy nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, można oszacować, że taki system trzeba będzie wdrożyć orientacyjnie do połowy 2025 roku.
Powyższe informacje pochodzą z projektu ustawy, który jest na etapie konsultacji, więc możliwe, że te terminy ulegną zmianie.
Jakie kary są przewidziane za niedostosowanie się do NIS2?
NIS2 zawiera także sankcje, które będą nakładane na podmioty, które nie dostosują się do dyrektywy. Mowa tu o wysokich karach finansowych, które mogą być nakładane nie tylko na organizacje, ale też na osoby zarządzające.
Podmioty Kluczowe:
Maksymalna kara może wynosić 10 mln EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
Minimalna kara to 20 000 zł.
Podmioty Ważne:
Maksymalna kara może wynosić 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
Minimalna kara to 15 000 zł.
Osoby zarządzające:
Kara pieniężna, o której mowa w Art. 73a. ust. 1–3, może być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Okresowe kary pieniężne:
Możliwe są w sytuacji, gdy podmiot opóźnia się z wykonaniem czynności określonych w ostrzeżeniu lub decyzji organu właściwego do spraw cyberbezpieczeństwa.
Za każdy dzień opóźnienia można nałożyć karę od 500 zł do 100 000 zł .
Jak się przygotować na NIS2?
Narzędziem, które odpowiada na wiele kluczowych wyzwań nowej dyrektywy, jest oprogramowanie do zarządzania IT Axence nVision®. Z kolei Axence SecureTeam® pozwala szkolić pracowników z zakresu cyberbezpieczeństwa, co również jest obowiązkiem wprowadzonym w NIS2. Sprawdź, jak możemy Cię wesprzeć w przygotowaniu się do wejścia
w życie nowych przepisów. Poznaj obszary, w których chętnie Ci pomożemy.
Axence odpowiada na NIS2
-
☐ WYZWANIEAnaliza ryzyka: Podstawowym krokiem do zapewnienia zgodności z NIS2 jest odpowiednio przeprowadzona analiza ryzyka. Jednym z kluczowych kroków jest określenie aktywów (assets) podstawowych i wspierających Twojej firmy.☑ ROZWIĄZANIE Axence
Poznaj moduł Inventory w Axence nVision®. Pozwala on na łatwe i szybkie przeprowadzenie inwentaryzacji. Z jego pomocą, możesz klasyfikować zarówno zasoby fizyczne, takie jak sprzęt czy elementy infrastruktury sieciowej, ale również zasoby niematerialne np. zbiory informacji. Inwentaryzacja zasobów jest kluczowa w procesie analizy ryzyka. Pozwala na odpowiednie zidentyfikowanie kluczowych zasobów takich jak elementy infrastruktury IT oraz zagrożeń, które na nie wpływają. To podstawa do wdrożenia zintegrowanego systemu bezpieczeństwa informacji.
-
☐ WYZWANIEZarządzanie incydentem: NIS2 kładzie duży nacisk na ten aspekt cyberbezpieczeństwa. Ataki cyberprzestępców czy wycieki danych zdarzają się coraz częściej. Dlatego w nowym prawie kwestię zarządzenia incydentem potraktowano priorytetowo.☑ ROZWIĄZANIE Axence
Moduł HelpDesk w Axence nVision® pozwala na:
- ✓ Rejestrację zdarzeń i incydentów
- ✓ Szybką reakcję i rozwiązywanie problemów
- ✓ Klasyfikację i ocenę incydentu
- ✓ Przypisanie zadań i eskalację incydentu
- ✓ Śledzenie postępów i raportowanie
- ✓ Prowadzenie dokumentacji i wyciąganie wniosków na przyszłość
-
☐ WYZWANIESzkolenia z cyberbezpieczeństwa: cyberoszuści od dawna wiedzą, że nawet najlepsze systemy i technologie nic nie wskórają, gdy Twoim pracownikom brakuje świadomości zagrożeń. Wiedzą o tym też unijni prawodawcy. Dlatego właśnie NIS2 wprowadza obowiązek przeszkolenia pracowników w zakresie cyberbezpieczeństwa. Dyrektywa podkreśla szczególnie problemy socjotechnik oraz ataków phishingowych.☑ ROZWIĄZANIE Axence
Axence SecureTeam® to platforma szkoleniowa, która oferuje lekcje online dla Twoich pracowników. Pozwoli ona zdobyć im niezbędną wiedzę z zakresu cyberbezpieczeństwa w wygodny dla siebie sposób. Szkolenia można wykonywać w swoim tempie i w dogodnym czasie. System monitoruje też postępy w nauce i utrwala zdobyte informacje dzięki testom wiedzy.
NIS2 zawiera o wiele więcej norm i uregulowań, do których pomożemy Ci się dostosować
-
☐ WYZWANIECiągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe
-
☐ WYZWANIEBezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami
-
☐ WYZWANIEBezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie
-
☐ WYZWANIEPolityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania
-
☐ WYZWANIEBezpieczeństwo ludzi, politykę kontroli dostępu i zarządzanie aktywami
Zobacz webinar i otrzymaj e-book!
Wypełnij formularz, by otrzymać od nas dostęp do nagrania webinaru, w którym prowadzący na przykładach analizują różne aspekty dyrektywy NIS2. Dodatkowo otrzymasz też od nas specjalny e-book, gdzie w szczegółach opisujemy założenia NIS2 i podpowiadamy, jak się przygotować na wejście w życie nowej dyrektywy.
Zaznaczenie checkboxa jest dobrowolne, ale niezbędne do skorzystania z darmowego webinarium. Jeżeli chcesz skorzystać z płatnej formy szkoleń Axence – tj. bez wyrażania zgody marketingowej - skontaktuj się z nami: sprzedaz@axence.net. Zaznaczając checkbox wyrażasz zgodę na przetwarzanie danych osobowych w zakresie adresu email / nr telefonu oraz innych podanych danych w celu realizacji marketingu bezpośredniego przez Axence Sp. z o. o. Sp. J. poprzez kontakt mailowy lub telefoniczny. Administratorem danych jest Axence Sp. z o. o. Sp. J. ul. Na Zjeździe 11, 30-527 Kraków, NIP: 6751399589. Pokaż więcej
Piotr Adamczyk
Technical Account Manager w Axence
dr Mirosław Gumularz
Radca prawny / NewTechLaw.eu
Copyright © 2024 Axence Sp. z o. o. Sp. j.
