Reklama

Cyberbezpieczeństwo

Dyrektywa NIS2. Sprawdź gotowość organizacji na nowe zasady cyberbezpieczeństwa

Dyrektywa NIS2 NASK SA
Autor. NASK S.A.

Żyjemy w czasach szybko postępującej digitalizacji, dlatego cyberbezpieczeństwo danych i systemów informatycznych powinno stać się obszarem o priorytetowym znaczeniu w każdej organizacji. Tym, bardziej, że zagrożenia cybernetyczne nieustannie ewoluują, stają się coraz bardziej wyrafinowane, a ich ilość z roku na rok drastycznie wzrasta na całym świecie. Jedną z inicjatyw mającą na celu wzmocnienie odporności, a w konsekwencji poprawę poziomu cyberbezpieczeństwa infrastruktury krytycznej i usług cyfrowych w Unii Europejskiej jest dyrektywa NIS2 (Network and Information Systems Directive 2).

Reklama

Artykuł sponsorowany

Wiedza na temat kluczowych jej postanowień i wymagań jest niezwykle istotna dla organizacji działających w sferze cyfrowej z uwagi, iż nie tylko definiuje niezbędne środki cyberbezpieczeństwa, ale również nakłada obowiązki raportowania oraz kary za ich nieprzestrzeganie.

Reklama

Implementacja

Reklama

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku i zastąpi obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w Ustawie o Krajowym Systemie Cyberbezpieczeństwa.

Mimo, iż termin implementacji dyrektywy NIS2 na poziomie prawa krajowego upływa dopiero 17 października 2024 roku, a precyzyjny zakres implementacji regulacji w nowelizacji ustawy o KSC w istotnym zakresie zależy od decyzji polskiego ustawodawcy to już teraz możemy sprawdzić, z jakimi nowymi obowiązkami przyjdzie się zmierzyć polskim organizacjom.

Fot. NASK S.A.
Autor. NASK S.A.

Jakich podmiotów dotyczy?

Dyrektywa NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, dzieląc je na podmioty kluczowe i podmioty ważne, obejmując przy tym średnie przedsiębiorstwa z sektorów publicznych i prywatnych. Kluczową zmianą jest rozszerzenie katalogu organizacji i włączenie podmiotów z branży: energetycznej, bankowej i finansowej, wodno-kanalizacyjnej, opieki zdrowotnej, administracji publicznej, produkcyjnej w zakresie produkcji żywności. Dyrektywa będzie miała zastosowanie do podmiotów publicznych oraz prywatnych, które wskazano w załączniku I i II do dyrektywy, świadczących usługi lub prowadzących działalność w UE i jednocześnie kwalifikujących się jako średnie przedsiębiorstwa lub przekraczających pułapy dla średnich przedsiębiorstw. Szacuje się, że w Polsce będzie kilka tysięcy podmiotów zobowiązanych do dostosowania swoich standardów bezpieczeństwa do nowych przepisów dyrektywy.

Uprawnienia organów nadzorczych

Dyrektywa NIS2 nadaje organom nadzorczym rozległe uprawnienia w zakresie kontroli i egzekwowania przepisów, m.in. wnioskowanie o udostępnienie informacji, dostępu do danych i dokumentacji, wydawanie nakazów i wiążących poleceń zapewnienia zgodności z dyrektywą NIS2 lub zaniechania określonego postępowania czy nałożenie lub zwrócenie się o nałożenie przez właściwe organy lub sądy zgodnie z prawem krajowym administracyjnej kary pieniężnej.

Należy podkreślić, iż szczegółowy zakres uprawnień dla organów nadzorczych jest różny dla podmiotów kluczowych i ważnych. Dodatkowo w odniesieniu do podmiotów kluczowych jeśli środki egzekwowania przepisów okażą się nieskuteczne będzie istniała możliwość tymczasowego zawieszenia certyfikacji lub zezwolenia na usługi lub działalność prowadzoną przez dany podmiot, a także możliwość nałożenia tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie.

Zarządzanie ryzykiem

Dyrektywa NIS2 nakłada jednakowe obowiązki w zakresie zarządzania ryzykiem, z których będą musiały wywiązać się podmioty kluczowe i ważne. Co za tym idzie? W odniesieniu do zarządzania ryzykiem będzie trzeba wdrożyć odpowiednie środki techniczne, operacyjne i organizacyjne. Dodatkowo organy zarządzające tych podmiotów będą zobowiązane do zatwierdzenia, nadzorowania i wdrażania procesów zarządzania ryzkiem w obszarze cyberbezpieczeństwa, a w przypadku niedopełnienia obowiązków ich członkowie będą mogli zostać pociągnięci do odpowiedzialności.

Zgłaszanie incydentów Podmioty kluczowe i ważne będą zobowiązane do raportowania odnotowanych incydentów w terminach ściśle określonych przez dyrektywę do właściwego CSIRT«u. Dodatkowo będzie możliwość nałożenia na te podmioty obowiązku powiadomienia odbiorców swoich usług o wystąpieniu incydentu, a w szczególnych sytuacjach powiadomienia o poważnym cyberzagrożeniu.

Kary pieniężne i sankcje karne

W przypadku podmiotów sklasyfikowanych jako kluczowe za złamanie zasad zarządzania ryzykiem lub zgłaszania incydentów, mogą zostać nałożone kary administracyjne w wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy. Z kolei w przypadku podmiotów sklasyfikowanych jako ważne wysokość kary będzie musiała wynosić co najmniej 7 mln euro lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny. Takie sformułowanie oznacza, że w praktyce państwa będą dysponowały dużą swobodą przy ustalaniu zakresów kwotowych przyszłych kar, ale zawsze będzie musiała istnieć możliwość nałożenia sankcji we wskazanej minimalnej wysokości. Dyrektywa NIS2 przewiduje również możliwość nakładania okresowych kar pieniężnych, aby wymusić przestrzeganie przepisów dyrektywy, a państwa członkowskie zobowiązuje do wprowadzenia sankcji karnych z tytułu jej naruszenia lub implementujących ją przepisów.

Podsumowanie najistotniejszych zmian

  1. Rozszerzono katalog podmiotów objętych regulacjami NIS2, włączając więcej sektorów gospodarki, m.in. dostawców usług chmurowych.
  2. Wprowadzono nową klasyfikację podmiotów według ich znaczenia oraz podział na podmioty kluczowe i podmioty ważne.
  3. Uwzględniono średnie i duże przedsiębiorstwa w wybranych branżach jako podmioty kwalifikowane, co oznacza że adresatami przepisów są:
  • średnie przedsiębiorstwa zatrudniające 50 lub więcej pracowników o rocznych przychodach w wysokości 10 mln euro albo rocznej sumie bilansowej do 43 mln euro;
  • duże przedsiębiorstwa zatrudniające 250 lub więcej pracowników o rocznych przychodach w wysokości co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej.

Co do zasady nowe obowiązki nie będą dotyczyć mikroprzedsiębiorstw ani przedsiębiorstw małych, z pewnymi ważnymi wyjątkami tj. dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną oraz administracja publiczna niezależnie od skali swej działalności będą podlegały dyrektywie NIS2.

  1. Nałożono nowe obowiązki na podmioty tj. stosowanie konkretnych rozwiązań w zakresie zarządzania ryzykiem, np. analizy ryzyka i polityki bezpieczeństwa systemów informatycznych, polityki zarządzania incydentami, planu ciągłości działania i zarządzania kryzysowego, procedur oceny skuteczności zarządzania ryzykiem i bezpieczeństwa, odpowiedniego zabezpieczenia łańcuchów dostaw.
  2. Zaostrzono wymogi zgłaszania incydentów i podwyższono sankcje za ich nieprzestrzeganie.

Odpowiedzialność

Odpowiedzialne za przestrzeganie przepisów NIS2 są zarządy organizacji. To ich przedstawiciele muszą zatwierdzić polityki bezpieczeństwa, monitorować przestrzeganie oraz zarządzać ryzykiem. Niezależnie od tego, jak duża jest Twoja organizacja, jest to zadanie, które nie może zostać zaniedbane, zważywszy na potencjalne konsekwencje naruszenia przepisów. To powinno skłonić zarządzających do podjęcia proaktywnych działań w celu zrozumienia, wdrożenia i przestrzegania nowych regulacji, dlatego też powinni odgrywać kluczową rolę w zapewnieniu gotowości organizacji na nowe regulacje.

W przypadku implementacji przepisów ustawy o KSC wynikających z dyrektywy NIS wdrożenie wymaganych zmian zajmowało organizacjom nawet kilkanaście miesięcy. Biorąc pod uwagę fakt, iż dyrektywa NIS2 będzie obowiązywać już w październiku 2024 i do tego czasu organizacje powinny spełniać nowe wymagania należy już podjąć odpowiednie działania w szczególności w organizacjach, które po raz pierwszy zostaną objęte nowymi przepisami. Dotyczy to przede wszystkim średnich i dużych przedsiębiorstw wskazanych w dyrektywie NIS2 jako podmioty ważne np. operatorów usług pocztowych, dostawców usług chmurowych, przedsiębiorstw spożywczych, a także wszystkich dostawców usług komunikacji elektronicznej.

Dyrektywa NIS 2 – od czego zacząć?

W NASK S.A. jesteśmy świadomi, że wdrożenie przepisów dyrektywy NIS2 to złożony proces, wymagający eksperckiej wiedzy z zakresu cyberbezpieczeństwa, dlatego nasi wykwalifikowani specjaliści udzielą niezbędnego wsparcia Twojej organizacji wdrażając projektowo niezbędne rozwiązania. Dbamy o indywidualne potrzeby każdego klienta, oferując mu kompleksowe podejście do projektów z zakresu cyberbezpieczeństwa. Wykorzystując wiedzę i doświadczenie naszego zespołu specjalistów, opracujemy spersonalizowane rozwiązania, idealnie dopasowane do potrzeb Twojej organizacji, niezależnie od branży, w której działa i poziomu stosowanych zabezpieczeń.

Skontaktuj się z nami, aby uzyskać więcej informacji: TUTAJ

Źródło: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022L2555

Opracowanie: Melania Walaszczyk, Dyrektor Pionu Strategii i Komunikacji NASK S.A.

Reklama
Reklama

Komentarze