Kogo dotyczy NIS2?

23.10.2024
  • Analiza ryzyka
  • Kontrola ryzyka

Firma, w której pracujesz, zajmuje się produkcją żywności, wywozem odpadów lub prowadzi inny biznes niezwiązany ze światem technologii? Mimo to, Twoja organizacja będzie musiała wprowadzić wysokie standardy w zakresie cyberbezpieczeństwa, jeżeli znajduje się w grupie opisanej w dyrektywie NIS2.

NIS2 aktualizując wcześniejszą dyrektywę NIS, wprowadza nowe obowiązki, obejmujące wdrożenie środków technicznych i organizacyjnych, zabezpieczenie łańcucha dostaw oraz usprawnienie raportowania incydentów. Celem dyrektywy jest zwiększenie odporności na cyberzagrożenia, zapewnienie ochrony krytycznej infrastruktury i usług, a także podniesienie odpowiedzialności zarządów firm za cyberbezpieczeństwo. 

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 jest krokiem Unii Europejskiej w kierunku wzmocnienia cyberbezpieczeństwa, będąc aktualizacją wcześniejszej dyrektywy NIS z 2016 roku. Pierwsza dyrektywa NIS stanowiła pionierskie działanie mające na celu stworzenie jednolitych standardów bezpieczeństwa sieci i informacji w całej UE. Koncentrowała się głównie na sektorach takich jak energetyka, transport, bankowość i opieka zdrowotna, skupionych w dwóch grupach: operatorów usług kluczowych oraz dostawców usług cyfrowych. W obliczu rosnących zagrożeń cyfrowych i zwiększonej zależności społeczeństwa od technologii cyfrowych pojawiła się potrzeba wprowadzenia bardziej rygorystycznych przepisów. NIS2, która ma zostać wprowadzona do prawa krajowego we wszystkich państwach członkowskich do 17 października 2024 roku, ma na celu aktualizację i rozszerzenie tych ram, aby lepiej chronić europejską infrastrukturę krytyczną i kluczowe usługi.

Jednym z kluczowych zmian wprowadzonych przez dyrektywę NIS2 jest rozszerzenie zakresu sektorów objętych jej przepisami. Oprócz branż już objętych NIS, to NIS2 obejmuje nowe, takie jak usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję chemikaliów oraz dostawców usług cyfrowych, takich jak platformy handlowe i sieci społecznościowe. 

Dyrektywa wprowadza również surowsze wymogi bezpieczeństwa, które wymagają od organizacji wdrożenia zaawansowanych środków technicznych i organizacyjnych w celu ochrony przed cyberzagrożeniami. Zwiększone są również obowiązki raportowania incydentów, co ma na celu szybsze reagowanie i minimalizację skutków ataków cyfrowych. Co więcej, dyrektywa kładzie większy nacisk na odpowiedzialność zarządów firm, wymagając, aby cyberbezpieczeństwo stało się priorytetem na najwyższych szczeblach zarządzania, co ma przyczynić się do bardziej skutecznego zarządzania ryzykiem i lepszej ochrony infrastruktury krytycznej.

Jakich sektorów dotyczy dyrektywa NIS2?

Dyrektywa NIS2 obejmuje szeroki zakres sektorów, dzieląc je na sektory kluczowe (Essential Entities) i sektory ważne (Important Entities). Sektory kluczowe obejmują duże organizacje, których usługi są krytyczne dla funkcjonowania społeczeństwa i całej gospodarki, takie jak energetyka, transport, bankowość, opieka zdrowotna oraz infrastruktura cyfrowa. Natomiast sektory ważne to średnie i duże przedsiębiorstwa działające w istotnych obszarach takich jak: usługi pocztowe, gospodarka odpadami, produkcja chemikaliów, żywność oraz dostawcy usług cyfrowych. Różnią się one poziomem wymagań nakładanych na nie przez dyrektywę.

NIS2 nakłada na państwa członkowskie zadanie sporządzenia listy kluczowych i istotnych podmiotów oraz tych, które świadczą usługi rejestracji nazw domen do 17 kwietnia 2025 roku. Lista ta ma być regularnie przeglądana i aktualizowana przez państwa członkowskie, nie rzadziej niż co dwa lata od tej daty.

Sektory kluczowe (Essential Entities)

Dyrektywa NIS2 szczegółowo określa sektory kluczowe, które obejmują organizacje o krytycznym znaczeniu na poizomie krajowym. Do tych branż należą:

  • Energetyka (energia elektryczna, systemy ciepłownicze i chłodnicze, ropa naftowa, gaz oraz wodór)
  • Transport (lotniczy, kolejowy, wodny i drogowy)
  • Bankowość oraz infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Dostawcy wody pitnej i przedsiębiorstwa zajmujące się ściekami
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT
  • Administracja publiczna
  • Przestrzeń kosmiczna

Te obszary działalności są uznawane za fundamentalne dla zapewnienia stabilności ekonomicznej i społecznej, a ich ochrona przed zagrożeniami cyfrowymi jest priorytetem. Tego typu organizacje są zobowiązane do wdrożenia zaawansowanych środków cyberbezpieczeństwa, aby chronić krytyczną infrastrukturę i zapewnić ciągłość świadczenia usług. Wysokie standardy bezpieczeństwa mają na celu minimalizację ryzyka cyberataków, które mogłyby mieć poważne konsekwencje dla nas wszystkich.

Sektory ważne (Important Entities)

Dyrektywa NIS2 obejmuje również sektory ważne, które choć nie są tak krytyczne, jak sektory kluczowe, nadal mają istotne znaczenie dla funkcjonowania gospodarki. Do tych branż należą:

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja chemikaliów
  • Produkcja i dystrybucja żywności
  • Produkcja wyrobów medycznych, komputerów, urządzeń elektrycznych, maszyn, pojazdów, sprzętu transportowego
  • Dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, sieci społecznościowe)
  • Badania naukowe

Organizacje te, mimo że często są mniejsze niż te z sektorów kluczowych, są zobowiązane do wdrożenia odpowiednich środków cyberbezpieczeństwa, aby chronić swoje systemy i dane przed zagrożeniami cyfrowymi. Zwiększona ochrona tych obszarów działalności ma na celu zapewnienie stabilności operacyjnej i minimalizację ryzyka zakłóceń, które mogą mieć wpływ na szeroką gamę usług i produktów codziennego użytku.

Specjalne przypadki

Dyrektywa NIS2 przewiduje specjalne przypadki, w których mikro i małe przedsiębiorstwa mogą być objęte jej wymogami, mimo że standardowo nie są uwzględnione. Może to nastąpić, gdy ocena ryzyka wykaże, że usługi świadczone przez te firmy ma duże znaczenie dla gospodarki danego państwa członkowskiego. W takich przypadkach administracja publiczna może zdecydować o ich włączeniu do dyrektywy. 

Ponadto dyrektywa NIS2 kładzie duży nacisk na zarządzanie łańcuchem dostaw, co oznacza, że firmy objęte regulacjami muszą również zapewnić bezpieczeństwo swoich dostawców i podwykonawców. Z tego powodu te podmioty pośrednio też są zobowiązane do zapewnienia zgodności z NIS2. Organizacje muszą oceniać i monitorować praktyki bezpieczeństwa swoich partnerów w łańcuchu dostaw, aby zapewnić, że cały ekosystem jest chroniony przed zagrożeniami cyfrowymi. To obejmuje obowiązek wdrażania środków bezpieczeństwa oraz monitorowania zgodności z wymaganiami NIS2 przez wszystkie zaangażowane strony.

Obowiązki i wymagania NIS2

Dyrektywa NIS2 nakłada na organizacje szereg obowiązków i wymagań w zakresie cyberbezpieczeństwa. Firmy muszą wdrażać odpowiednie środki techniczne i organizacyjne, regularnie przeprowadzać oceny ryzyka, zarządzać incydentami oraz planować działania naprawcze i sposoby odzyskiwania danych. Obowiązek informacyjny obejmuje raportowanie incydentów do odpowiednich organów oraz udostępnianie informacji użytkownikom i innym zainteresowanym stronom. Nieprzestrzeganie tych wymagań grozi wysokimi karami finansowymi oraz potencjalnymi szkodami reputacyjnymi, co ma na celu zapewnienie, że organizacje traktują cyberbezpieczeństwo jako priorytet i podejmują odpowiednie działania w celu ochrony swoich systemów i danych przed zagrożeniami cyfrowymi.

Jak się przygotować na zgodność z NIS2?

Dzięki wprowadzeniu surowszych wymagań i rozszerzeniu zakresu sektorów, NIS2 znacząco przyczyni się do wzrostu odporności na cyberzagrożenia w całej Europie. Dyrektywa promuje współpracę transgraniczną i podnoszenie standardów bezpieczeństwa, co jest kluczowe w obliczu coraz bardziej zaawansowanych ataków cyfrowych. Przygotowanie do zgodności z dyrektywą NIS2 wymaga podjęcia kilku kluczowych kroków. 

Po pierwsze organizacje muszą ocenić, czy podlegają nowym regulacjom, analizując swoje sektory działalności oraz spełnianie kryteriów rozmiaru i znaczenia. Następnie niezbędne jest wdrożenie wymaganych środków bezpieczeństwa, takich jak zaawansowane techniczne i organizacyjne rozwiązania ochrony przed cyberzagrożeniami. Przydatne będzie wdrożenie odpowiednich narzędzi, które pomogą w m.in zarządzaniu ryzykiem i łańcuchem dostaw. Takim narzędziem jest RED INTO GREEN, które wspiera organizacje w działaniu zgodnym z NIS2, DORA oraz RODO, które zostało stworzone przez specjalistów bazujących na realnym rynkowym doświadczeniu. 

Ważne również jest przeprowadzenie szkoleń i podnoszenie świadomości wśród pracowników, aby zapewnić, że cały personel jest przygotowany na potencjalne incydenty cyfrowe. Monitorowanie i regularna aktualizacja praktyk bezpieczeństwa gwarantują, że organizacja jest na bieżąco z najnowszymi zagrożeniami i metodami ochrony. Termin implementacji do prawa krajowego upływa 17 października 2024 roku, dlatego kluczowe jest, aby firmy rozpoczęły przygotowania jak najszybciej, aby spełnić wszystkie wymogi i przyczynić się do zwiększenia ogólnego poziomu cyberbezpieczeństwa w UE.

Zapisz się na newsletter
Po zgłoszeniu swojego e-maila będziesz dostawać od nas raz na dwa tygodnie nowo opublikowane treści na naszej stronie.
Podobne wpisy z kategorii