NIS2 robi zawrotną karierę. Nowa dyrektywa jest ostatnio wymieniana w bardzo wielu opracowaniach, artykułach czy wystąpieniach. Zastanawiasz się, jak się w tym połapać? Jak łatwo i szybko dowiedzieć się tego, co ważne z punktu widzenia IT? Tu znajdziesz wszystko, co potrzebne, by zaplanować i wdrożyć nowe przepisy w Twojej organizacji.
Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument, który ustanawia ogólne standardy w zakresie cyberbezpieczeństwa. Dyrektywa obejmuje instytucje i firmy, które są określone jako kluczowe z punktu widzenia funkcjonowania społeczeństwa.
NIS2 to aktualizacja dyrektywy NIS z 2016 roku. W Polsce jej wymogi były realizowane przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która również jest aktualizowana. Dyrektywa została uchwalona, jako odpowiedź na zmiany w cyfrowym krajobrazie i coraz bardziej zaawansowane ataki cybernetyczne.
NIS2 określa nowe zasady bezpieczeństwa dla dostawców usług kluczowych. Zapisy NIS2 obejmują zarówno instytucje publiczne, jak i firmy prywatne. Przykładowe obszary działalności tych podmiotów to: energetyka, bankowość czy opieka zdrowotna.
NIS2 rozszerza zakres podmiotów i obejmuje więcej sektorów gospodarki.
Dokument nakłada na podmioty nowe obowiązki, takie jak:
wdrożenie rozwiązań z zakresu analizy i zarządzania ryzykiem,
implementację polityki bezpieczeństwa systemów,
zabezpieczenie łańcuchów dostaw,
opracowanie Planu Ciągłości Działania.
Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie.
Nakłada odpowiedzialność na osoby na stanowiskach kierowniczych. Za niespełnienie wytycznych NIS2 odpowiadają także osoby zarządzające.
NIS2 rezygnuje z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego wprowadza podział na podmioty kluczowe i ważne.
Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz może objąć podmioty, które są podwykonawcami lub dostawcami tych firm.
Prognozy wskazują, że NIS2 obejmie w Polsce około kilkudziesięciu tysięcy organizacji. Nowa dyrektywa rozszerza katalog o następujące podmioty, które zaliczają się do firm średnich i dużych*:
NIS2 nakłada również obowiązki związanie z monitorowaniem i sprawdzaniem bezpieczeństwa łańcucha dostaw. Do tej kategorii należą:
proces wykrywania i reagowania na incydenty bezpieczeństwa jak i technologie wspierające
cykliczne testy penteracyjne i audyty bezpieczeństwa
zarządzanie podatnościami
kontrola bezpieczeństwa procesu tworzenia oprogramowania u dostawcy
obowiązek analizy ryzyka związanej z dostawcami
Może wystąpić więc sytuacja, gdy firma nie objęta NIS2, która jest dostawcą organizacji objętej dyrektywą, będzie musiała także dostosować się do NIS2.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa na podstawie NIS2 powinna zostać uchwalona w terminie do 17 października 2024. Od momentu uznania firmy za podmiot kluczowy lub ważny, ma ona na wdrożenie systemu zarządzania bezpieczeństwem informacji 6 miesięcy.
Biorąc pod uwagę harmonogram pracy nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, można oszacować, że taki system trzeba będzie wdrożyć orientacyjnie do połowy 2025 roku.
Powyższe informacje pochodzą z projektu ustawy, który jest na etapie konsultacji, więc możliwe, że te terminy ulegną zmianie.
NIS2 zawiera także sankcje, które będą nakładane na podmioty, które nie dostosują się do dyrektywy. Mowa tu o wysokich karach finansowych, które mogą być nakładane nie tylko na organizacje, ale też na osoby zarządzające.
Narzędziem, które odpowiada na wiele kluczowych wyzwań nowej dyrektywy, jest oprogramowanie do zarządzania IT Axence nVision®. Z kolei Axence SecureTeam® pozwala szkolić pracowników z zakresu cyberbezpieczeństwa, co również jest obowiązkiem wprowadzonym w NIS2. Sprawdź, jak możemy Cię wesprzeć w przygotowaniu się do wejścia
w życie nowych przepisów. Poznaj obszary, w których chętnie Ci pomożemy.
Poznaj moduł Inventory w Axence nVision®. Pozwala on na łatwe i szybkie przeprowadzenie inwentaryzacji. Z jego pomocą, możesz klasyfikować zarówno zasoby fizyczne, takie jak sprzęt czy elementy infrastruktury sieciowej, ale również zasoby niematerialne np. zbiory informacji. Inwentaryzacja zasobów jest kluczowa w procesie analizy ryzyka. Pozwala na odpowiednie zidentyfikowanie kluczowych zasobów takich jak elementy infrastruktury IT oraz zagrożeń, które na nie wpływają. To podstawa do wdrożenia zintegrowanego systemu bezpieczeństwa informacji.
Moduł HelpDesk w Axence nVision® pozwala na:
Axence SecureTeam® to platforma szkoleniowa, która oferuje lekcje online dla Twoich pracowników. Pozwoli ona zdobyć im niezbędną wiedzę z zakresu cyberbezpieczeństwa w wygodny dla siebie sposób. Szkolenia można wykonywać w swoim tempie i w dogodnym czasie. System monitoruje też postępy w nauce i utrwala zdobyte informacje dzięki testom wiedzy.
Wypełnij formularz, by otrzymać od nas dostęp do nagrania webinaru, w którym prowadzący na przykładach analizują różne aspekty dyrektywy NIS2. Dodatkowo otrzymasz też od nas specjalny e-book, gdzie w szczegółach opisujemy założenia NIS2 i podpowiadamy, jak się przygotować na wejście w życie nowej dyrektywy.
Zaznaczenie checkboxa jest dobrowolne, ale niezbędne do skorzystania z darmowego webinarium. Jeżeli chcesz skorzystać z płatnej formy szkoleń Axence – tj. bez wyrażania zgody marketingowej - skontaktuj się z nami: sprzedaz@axence.net. Zaznaczając checkbox wyrażasz zgodę na przetwarzanie danych osobowych w zakresie adresu email / nr telefonu oraz innych podanych danych w celu realizacji marketingu bezpośredniego przez Axence Sp. z o. o. Sp. J. poprzez kontakt mailowy lub telefoniczny. Administratorem danych jest Axence Sp. z o. o. Sp. J. ul. Na Zjeździe 11, 30-527 Kraków, NIP: 6751399589. Pokaż więcej
Dane będą przetwarzane w celu przygotowania i przeprowadzenia szkolenia (podstawa prawna: art. 6 ust. 1 lit. b) rodo a jeżeli wyrazisz powyższą zgodę także w celu marketingu bezpośredniego administratora danych (podstawa: art. 6 ust. lit. a) rodo, realizowanego poprzez wysyłkę mailingu lub telemarketingu, w zależności od wyboru (zob. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 prawa telekomunikacyjnego). Wyrażenie zgody jest dobrowolne a zgoda może być wycofana w każdej chwili, co nie wpłynie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Zgodę możesz wycofać wysyłając takie żądanie na adres e-mail: dane.osobowe@axence.net. Osobie, której dane są przetwarzane przysługuje prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych a także o prawo do wniesienia skargi do organu nadzorczego (zob. uodo.gov.pl). Dane nie będą udostępniane do celów marketingowych innych podmiotów. Więcej: polityka prywatności.