Menu Example

NIS2

Wszystko, co IT musi wiedzieć

NIS2 robi zawrotną karierę. Nowa dyrektywa jest ostatnio wymieniana w bardzo wielu opracowaniach, artykułach czy wystąpieniach. Zastanawiasz się, jak się w tym połapać? Jak łatwo i szybko dowiedzieć się tego, co ważne z punktu widzenia IT? Tu znajdziesz wszystko, co potrzebne, by zaplanować i wdrożyć nowe przepisy w Twojej organizacji.

Dowiedz się więcej

Czym jest NIS2?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument, który ustanawia ogólne standardy w zakresie cyberbezpieczeństwa. Dyrektywa obejmuje instytucje i firmy, które są określone jako kluczowe z punktu widzenia funkcjonowania społeczeństwa.

NIS2 to aktualizacja dyrektywy NIS z 2016 roku. W Polsce jej wymogi były realizowane przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która również jest aktualizowana. Dyrektywa została uchwalona, jako odpowiedź na zmiany w cyfrowym krajobrazie i coraz bardziej zaawansowane ataki cybernetyczne.

NIS2 określa nowe zasady bezpieczeństwa dla dostawców usług kluczowych. Zapisy NIS2 obejmują zarówno instytucje publiczne, jak i firmy prywatne. Przykładowe obszary działalności tych podmiotów to: energetyka, bankowość czy opieka zdrowotna.

Jakie najważniejsze zmiany zawiera NIS2?

NIS2 rozszerza zakres podmiotów i obejmuje więcej sektorów gospodarki.
Dokument nakłada na podmioty nowe obowiązki, takie jak:
- wdrożenie rozwiązań z zakresu analizy i zarządzania ryzykiem,
- implementację polityki bezpieczeństwa systemów,
- zabezpieczenie łańcuchów dostaw,
- opracowanie Planu Ciągłości Działania.

Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie.
Nakłada odpowiedzialność na osoby na stanowiskach kierowniczych. Za niespełnienie wytycznych NIS2 odpowiadają także osoby zarządzające.
NIS2 rezygnuje z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego wprowadza podział na podmioty kluczowe i ważne.
Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz może objąć podmioty, które są podwykonawcami lub dostawcami tych firm.

Kogo obejmuje NIS2?

Prognozy wskazują, że NIS2 obejmie w Polsce około kilkudziesięciu tysięcy organizacji. Nowa dyrektywa rozszerza katalog o następujące podmioty, które zaliczają się do firm średnich i dużych*:

Podmioty kluczowe

Energetyka

Transport

Bankowość

i infrastruktura rynków finansowych

Ochrona zdrowia

Zaopatrzenie w wodę pitną i jej dystrybucja

Ścieki

Infrastruktura cyfrowa

Zarządzanie usługami ICT

Przestrzeń kosmiczna

Podmioty ważne

Usługi pocztowe

Gospodarowanie odpadami

Dostawcy usług cyfrowych

Badania naukowe

Co ważne, NIS2 wprowadza obowiązek przeprowadzenia oceny ryzyka dla wszystkich bezpośrednich dostawców i podwykonawców.

NIS2 nakłada również obowiązki związanie z monitorowaniem i sprawdzaniem bezpieczeństwa łańcucha dostaw. Do tej kategorii należą:

proces wykrywania i reagowania na incydenty bezpieczeństwa jak i technologie wspierające
cykliczne testy penteracyjne i audyty bezpieczeństwa
zarządzanie podatnościami
kontrola bezpieczeństwa procesu tworzenia oprogramowania u dostawcy
obowiązek analizy ryzyka związanej z dostawcami

Może wystąpić więc sytuacja, gdy firma nie objęta NIS2, która jest dostawcą organizacji objętej dyrektywą, będzie musiała także dostosować się do NIS2.

Do kiedy jest czas na przygotowanie się?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa na podstawie NIS2 powinna zostać uchwalona w terminie do 17 października 2024. Od momentu uznania firmy za podmiot kluczowy lub ważny, ma ona na wdrożenie systemu zarządzania bezpieczeństwem informacji 6 miesięcy.

Biorąc pod uwagę harmonogram pracy nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, można oszacować, że taki system trzeba będzie wdrożyć orientacyjnie do połowy 2025 roku.

Powyższe informacje pochodzą z projektu ustawy, który jest na etapie konsultacji, więc możliwe, że te terminy ulegną zmianie.

Jakie kary są przewidziane za niedostosowanie się do NIS2?

NIS2 zawiera także sankcje, które będą nakładane na podmioty, które nie dostosują się do dyrektywy. Mowa tu o wysokich karach finansowych, które mogą być nakładane nie tylko na organizacje, ale też na osoby zarządzające.

Podmioty Kluczowe:

Maksymalna kara może wynosić 10 mln EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.

Minimalna kara to 20 000 zł.

Podmioty Ważne:

Maksymalna kara może wynosić 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.

Minimalna kara to 15 000 zł.

Osoby zarządzające:

Kara pieniężna, o której mowa w Art. 73a. ust. 1–3, może być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Okresowe kary pieniężne:

Możliwe są w sytuacji, gdy podmiot opóźnia się z wykonaniem czynności określonych w ostrzeżeniu lub decyzji organu właściwego do spraw cyberbezpieczeństwa.

Za każdy dzień opóźnienia można nałożyć karę od 500 zł do 100 000 zł .

Jak się przygotować na NIS2?

Narzędziem, które odpowiada na wiele kluczowych wyzwań nowej dyrektywy, jest oprogramowanie do zarządzania IT Axence nVision^®. Z kolei Axence SecureTeam^® pozwala szkolić pracowników z zakresu cyberbezpieczeństwa, co również jest obowiązkiem wprowadzonym w NIS2. Sprawdź, jak możemy Cię wesprzeć w przygotowaniu się do wejścia

w życie nowych przepisów. Poznaj obszary, w których chętnie Ci pomożemy.

Rozwijana Lista

☐ WYZWANIE
Analiza ryzyka: Podstawowym krokiem do zapewnienia zgodności z NIS2 jest odpowiednio przeprowadzona analiza ryzyka. Jednym z kluczowych kroków jest określenie aktywów (assets) podstawowych i wspierających Twojej firmy. ▼

☑ ROZWIĄZANIE Axence

Poznaj moduł Inventory w Axence nVision^®. Pozwala on na łatwe i szybkie przeprowadzenie inwentaryzacji. Z jego pomocą, możesz klasyfikować zarówno zasoby fizyczne, takie jak sprzęt czy elementy infrastruktury sieciowej, ale również zasoby niematerialne np. zbiory informacji. Inwentaryzacja zasobów jest kluczowa w procesie analizy ryzyka. Pozwala na odpowiednie zidentyfikowanie kluczowych zasobów takich jak elementy infrastruktury IT oraz zagrożeń, które na nie wpływają. To podstawa do wdrożenia zintegrowanego systemu bezpieczeństwa informacji.
☐ WYZWANIE
Zarządzanie incydentem: NIS2 kładzie duży nacisk na ten aspekt cyberbezpieczeństwa. Ataki cyberprzestępców czy wycieki danych zdarzają się coraz częściej. Dlatego w nowym prawie kwestię zarządzenia incydentem potraktowano priorytetowo. ▼
☑ ROZWIĄZANIE Axence

Moduł HelpDesk w Axence nVision^® pozwala na:
- ✓ Rejestrację zdarzeń i incydentów
- ✓ Szybką reakcję i rozwiązywanie problemów
- ✓ Klasyfikację i ocenę incydentu
- ✓ Przypisanie zadań i eskalację incydentu
- ✓ Śledzenie postępów i raportowanie
- ✓ Prowadzenie dokumentacji i wyciąganie wniosków na przyszłość
☐ WYZWANIE
Szkolenia z cyberbezpieczeństwa: cyberoszuści od dawna wiedzą, że nawet najlepsze systemy i technologie nic nie wskórają, gdy Twoim pracownikom brakuje świadomości zagrożeń. Wiedzą o tym też unijni prawodawcy. Dlatego właśnie NIS2 wprowadza obowiązek przeszkolenia pracowników w zakresie cyberbezpieczeństwa. Dyrektywa podkreśla szczególnie problemy socjotechnik oraz ataków phishingowych. ▼

☑ ROZWIĄZANIE Axence

Axence SecureTeam^® to platforma szkoleniowa, która oferuje lekcje online dla Twoich pracowników. Pozwoli ona zdobyć im niezbędną wiedzę z zakresu cyberbezpieczeństwa w wygodny dla siebie sposób. Szkolenia można wykonywać w swoim tempie i w dogodnym czasie. System monitoruje też postępy w nauce i utrwala zdobyte informacje dzięki testom wiedzy.

☐ WYZWANIE
Ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe ▶

☑ ROZWIĄZANIE Axence

Moduł Network - jako jeden z elementów oprogramowania Axence nVision^® zapobiega kosztownym przestojom. Wykrywa anomalie w działaniu urządzeń oraz monitoruje parametry wydajności kluczowych z nich. Dzięki nam Twoja serwerownia jest również w pełni bezpieczna, monitorujesz na bieżąco temperaturę i wilgotność w pomieszczeniu.
☐ WYZWANIE
Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami ▶

☑ ROZWIĄZANIE Axence

W module Inventory - części oprogramowania Axence nVision^® - możesz tworzyć rejestr dostawców sprzętu i oprogramowania. Poprawia to bezpieczeństwo łańcucha dostaw. Odpowiednia inwentaryzacja zasobów wraz z informacją na temat producenta danego rozwiązania ułatwia ewidencję dostawców oraz ocenę ryzyka związanego z łańcuchem dostaw.
☐ WYZWANIE
Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie ▶

☑ ROZWIĄZANIE Axence

Axence nVision^® pozwala na analizowanie używanych aktywów w module Inventory, co jest warunkiem wstępnym dla skutecznego zarządzania podatnościami technicznymi.
☐ WYZWANIE
Polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania ▶

☑ ROZWIĄZANIE Axence

Moduł Dataguard w Axence nVision^® pozwala na szyfrowanie zdalne dysków i pozostałych podłączanych nośników danych za pomocą funkcji BitLocker.
☐ WYZWANIE
Bezpieczeństwo ludzi, politykę kontroli dostępu i zarządzanie aktywami ▶

☑ ROZWIĄZANIE Axence

Moduł Inventory w Axence nVision^® pozwala na ewidencjonowanie dostępów do systemów informacyjnych oraz zarządzanie aktywami podstawowymi oraz wspierającymi.

Zobacz webinar

Wypełnij formularz, aby otrzymać nagranie z webinarium, podczas którego prowadzący opowiedzą szczegółowo i zaprezentują w praktyce, jak przygotować się do nowej dyrektywy.

Informacja o przetwarzaniu danych

Zaznaczenie checkboxa jest dobrowolne, ale niezbędne do skorzystania z darmowego webinarium. Jeżeli chcesz skorzystać z płatnej formy szkoleń Axence – tj. bez wyrażania zgody marketingowej - skontaktuj się z nami: sprzedaz@axence.net. Zaznaczając checkbox wyrażasz zgodę na przetwarzanie danych osobowych w zakresie adresu email / nr telefonu oraz innych podanych danych w celu realizacji marketingu bezpośredniego przez Axence Sp. z o. o. Sp. J. poprzez kontakt mailowy lub telefoniczny. Administratorem danych jest Axence Sp. z o. o. Sp. J. ul. Na Zjeździe 11, 30-527 Kraków, NIP: 6751399589. Pokaż więcej
Dane będą przetwarzane w celu przygotowania i przeprowadzenia szkolenia (podstawa prawna: art. 6 ust. 1 lit. b) rodo a jeżeli wyrazisz powyższą zgodę także w celu marketingu bezpośredniego administratora danych (podstawa: art. 6 ust. lit. a) rodo, realizowanego poprzez wysyłkę mailingu lub telemarketingu, w zależności od wyboru (zob. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 prawa telekomunikacyjnego). Wyrażenie zgody jest dobrowolne a zgoda może być wycofana w każdej chwili, co nie wpłynie na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Zgodę możesz wycofać wysyłając takie żądanie na adres e-mail: dane.osobowe@axence.net. Osobie, której dane są przetwarzane przysługuje prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych a także o prawo do wniesienia skargi do organu nadzorczego (zob. uodo.gov.pl). Dane nie będą udostępniane do celów marketingowych innych podmiotów. Więcej: polityka prywatności.

Piotr Adamczyk

Technical Account Manager w Axence

dr Mirosław Gumularz

Radca prawny / NewTechLaw.eu