NIS2
Wszystko, co IT musi wiedzieć
NIS2 robi zawrotną karierę. Nowa dyrektywa jest ostatnio wymieniana w bardzo wielu opracowaniach, artykułach czy wystąpieniach. Zastanawiasz się, jak się w tym połapać? Jak łatwo i szybko dowiedzieć się tego, co ważne z punktu widzenia IT? Tu znajdziesz wszystko, co potrzebne, by zaplanować i wdrożyć nowe przepisy w Twojej organizacji.
Czym jest NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument, który ustanawia ogólne standardy w zakresie cyberbezpieczeństwa. Dyrektywa obejmuje instytucje i firmy, które są określone jako kluczowe z punktu widzenia funkcjonowania społeczeństwa.
NIS2 to aktualizacja dyrektywy NIS z 2016 roku. W Polsce jej wymogi były realizowane przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która również jest aktualizowana. Dyrektywa została uchwalona, jako odpowiedź na zmiany w cyfrowym krajobrazie i coraz bardziej zaawansowane ataki cybernetyczne.
NIS2 określa nowe zasady bezpieczeństwa dla dostawców usług kluczowych. Zapisy NIS2 obejmują zarówno instytucje publiczne, jak i firmy prywatne. Przykładowe obszary działalności tych podmiotów to: energetyka, bankowość czy opieka zdrowotna.
Jakie najważniejsze zmiany zawiera NIS2?
NIS2 rozszerza zakres podmiotów i obejmuje więcej sektorów gospodarki.
Dokument nakłada na podmioty nowe obowiązki, takie jak:
wdrożenie rozwiązań z zakresu analizy i zarządzania ryzykiem,
implementację polityki bezpieczeństwa systemów,
zabezpieczenie łańcuchów dostaw,
opracowanie Planu Ciągłości Działania.
Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie.
Nakłada odpowiedzialność na osoby na stanowiskach kierowniczych. Za niespełnienie wytycznych NIS2 odpowiadają także osoby zarządzające.
NIS2 rezygnuje z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego wprowadza podział na podmioty kluczowe i ważne.
Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz może objąć podmioty, które są podwykonawcami lub dostawcami tych firm.
Kogo obejmuje NIS2?
Prognozy wskazują, że NIS2 obejmie w Polsce około kilkudziesięciu tysięcy organizacji. Nowa dyrektywa rozszerza katalog o następujące podmioty, które zaliczają się do firm średnich i dużych*:
Podmioty kluczowe
Energetyka
Transport
Bankowość
i infrastruktura rynków finansowych
Ochrona zdrowia
Zaopatrzenie w wodę pitną i jej dystrybucja
Ścieki
Infrastruktura cyfrowa
Zarządzanie usługami ICT
Przestrzeń kosmiczna
Podmioty ważne
Usługi pocztowe
Gospodarowanie odpadami
Dostawcy usług cyfrowych
Badania naukowe
Co ważne, NIS2 wprowadza obowiązek przeprowadzenia oceny ryzyka dla wszystkich bezpośrednich dostawców i podwykonawców.
NIS2 nakłada również obowiązki związanie z monitorowaniem i sprawdzaniem bezpieczeństwa łańcucha dostaw. Do tej kategorii należą:
proces wykrywania i reagowania na incydenty bezpieczeństwa jak i technologie wspierające
cykliczne testy penteracyjne i audyty bezpieczeństwa
zarządzanie podatnościami
kontrola bezpieczeństwa procesu tworzenia oprogramowania u dostawcy
obowiązek analizy ryzyka związanej z dostawcami
Może wystąpić więc sytuacja, gdy firma nie objęta NIS2, która jest dostawcą organizacji objętej dyrektywą, będzie musiała także dostosować się do NIS2.
Do kiedy jest czas na przygotowanie się?
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa na podstawie NIS2 powinna zostać uchwalona w terminie do 17 października 2024. Od momentu uznania firmy za podmiot kluczowy lub ważny, ma ona na wdrożenie systemu zarządzania bezpieczeństwem informacji 6 miesięcy.
Biorąc pod uwagę harmonogram pracy nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, można oszacować, że taki system trzeba będzie wdrożyć orientacyjnie do połowy 2025 roku.
Powyższe informacje pochodzą z projektu ustawy, który jest na etapie konsultacji, więc możliwe, że te terminy ulegną zmianie.
Jakie kary są przewidziane za niedostosowanie się do NIS2?
NIS2 zawiera także sankcje, które będą nakładane na podmioty, które nie dostosują się do dyrektywy. Mowa tu o wysokich karach finansowych, które mogą być nakładane nie tylko na organizacje, ale też na osoby zarządzające.
Podmioty Kluczowe:
Maksymalna kara może wynosić 10 mln EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
Minimalna kara to 20 000 zł.
Podmioty Ważne:
Maksymalna kara może wynosić 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
Minimalna kara to 15 000 zł.
Osoby zarządzające:
Kara pieniężna, o której mowa w Art. 73a. ust. 1–3, może być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Okresowe kary pieniężne:
Możliwe są w sytuacji, gdy podmiot opóźnia się z wykonaniem czynności określonych w ostrzeżeniu lub decyzji organu właściwego do spraw cyberbezpieczeństwa.
Za każdy dzień opóźnienia można nałożyć karę od 500 zł do 100 000 zł .
Jak się przygotować na NIS2?
Narzędziem, które odpowiada na wiele kluczowych wyzwań nowej dyrektywy, jest oprogramowanie do zarządzania IT Axence nVision®. Z kolei Axence SecureTeam® pozwala szkolić pracowników z zakresu cyberbezpieczeństwa, co również jest obowiązkiem wprowadzonym w NIS2. Sprawdź, jak możemy Cię wesprzeć w przygotowaniu się do wejścia
w życie nowych przepisów. Poznaj obszary, w których chętnie Ci pomożemy.
Zobacz webinar i otrzymaj e-book!
Wypełnij formularz, by otrzymać od nas dostęp do nagrania webinaru, w którym prowadzący na przykładach analizują różne aspekty dyrektywy NIS2. Dodatkowo otrzymasz też od nas specjalny e-book, gdzie w szczegółach opisujemy założenia NIS2 i podpowiadamy, jak się przygotować na wejście w życie nowej dyrektywy.
Piotr Adamczyk
Technical Account Manager w Axence
dr Mirosław Gumularz
Radca prawny / NewTechLaw.eu
Copyright © 2024 Axence Sp. z o. o. Sp. j.
