Zapewnij bezpieczeństwo IT / IOT / SCADA. Zapoznaj się z profesjonalnymi usługami z zakresu bezpieczeństwa teleinformatycznego – MSSP. Skorzystaj z kompleksowego podejście do budowy, monitorowania i utrzymania cyberbezpieczeństwa.
Czym jest NIS 2?
NIS 2 rozszerza zakres pierwotnej Dyrektywy NIS, obejmując większą liczbę sektorów, jednocześnie dając państwom członkowskim pewną elastyczność w dodawaniu kolejnych podmiotów uznanych za kluczowe dla gospodarki i społeczeństwa. W odróżnieniu od swojego poprzednika (oryginalnej dyrektywy NIS), NIS 2 po raz pierwszy zajmuje się bezpieczeństwem łańcuchów dostaw. Zawiera również bardziej konkretne przepisy dotyczące zgłaszania incydentów oraz określania właściwych krajowych organów. Dyrektywa NIS 2, która skupia się wyłącznie na aspekcie cybernetycznym, towarzyszy jej Dyrektywa dotycząca Odporności Podmiotów Kluczowych (CER), która dotyczy bezpieczeństwa fizycznego kluczowych podmiotów.
Czego dotyczy Dyrektywa NIS2?
Przedmiotem NIS 2 jest proponowanie środków mających poprawić cyberbezpieczeństwo we wszystkich państwach członkowskich Unii Europejskiej poprzez:
- Nakładanie obowiązku na państwa członkowskie w celu przyjęcia strategii cyberbezpieczeństwa i ustanowienia właściwych organów, organów zarządzania kryzysowego w obszarze cybernetycznym, punktów kontaktowych oraz Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRTs).
- Wprowadzenie środków zarządzania ryzykiem cyberbezpieczeństwa oraz obowiązków zgłaszania incydentów dla podmiotów kluczowych i ważnych, a także dla podmiotów uznanych za kluczowe zgodnie z Dyrektywą (UE) 2022/2557.
- Nakładanie zasad i obowiązków dotyczących udostępniania informacji o cyberbezpieczeństwie.
- Nakładanie obowiązków nadzorczych i egzekucyjnych na państwa członkowskie.
Kto podlega dyrektywie NIS 2
Podczas gdy NIS1 dotyczył sektorów tak kluczowych jak opieka zdrowotna, energia, transport, infrastruktura cyfrowa czy infrastruktury rynku finansowego, NIS2 obejmuje większą liczbę podmiotów, takich jak sektor spożywczy (produkcja, przetwarzanie i dystrybucja), platformy usług społecznościowych, usługi chmury obliczeniowej i centra danych.
Co istotne, nowe przepisy wprowadzają wyraźny limit wielkości, który wyłącza większość małych i mikroprzedsiębiorstw z zakresu dyrektywy. Głównie przedsiębiorstwa średniej wielkości (zatrudniające ponad 50 pracowników i o rocznym obrocie przekraczającym 10 milionów euro) oraz duże przedsiębiorstwa będą objęte tymi przepisami.
Jednakże pewne organizacje będą podlegać NIS2 bez względu na swoją wielkość, takie jak podmioty świadczące usługi rejestracji nazw domenowych, dostawcy usług zaufania, dostawcy usług DNS czy podmioty, których usługi, jeśli zostaną zakłócone, mogą znacząco wpłynąć na bezpieczeństwo publiczne.
Jakie są główne cele dyrektywy NIS2
- Zwiększenie poziomu odporności cybernetycznej przedsiębiorstw i podmiotów kluczowych dla gospodarki i społeczeństwa w całej UE.
- Zmniejszenie niekonsekwencji w zakresie odporności między państwami członkowskimi poprzez ujednolicenie zakresu dyrektywy, wymagań dotyczących obsługi incydentów, określenie zasad krajowego nadzoru i egzekwowania oraz zdolności organów państw członkowskich.
- Poprawa zdolności państw członkowskich UE do przygotowania się do reagowania na zagrożenia cybernetyczne poprzez zwiększenie zaufania między właściwymi organami, udostępnianie większej ilości informacji i tworzenie procedur w przypadku incydentu lub kryzysu o dużym zasięgu.
Jakie zmiany nastąpiły w dyrektywie NIS2
- Nowe podmioty objęte regulacją: NIS2 obejmuje więcej podmiotów niż poprzednia dyrektywa, włączając w to dostawców usług cyfrowych, platformy handlu elektronicznego i usługi chmurowe.
- Rozszerzenie sektorów: Dyrektywa obejmuje nowe sektory gospodarki, takie jak dostawcy usług chmurowych, handlu elektronicznego i niektóre platformy internetowe.
- Wymagania dotyczące bezpieczeństwa: NIS2 nakłada bardziej konkretne i restrykcyjne wymagania dotyczące zapewnienia bezpieczeństwa sieci i systemów informatycznych, w tym określone standardy bezpieczeństwa.
- Obowiązek raportowania incydentów: Operatorzy infrastruktury krytycznej i dostawcy usług cyfrowych mają obowiązek zgłaszania incydentów związanych z bezpieczeństwem sieci.
- Współpraca między państwami członkowskimi: Dyrektywa promuje większą współpracę między państwami członkowskimi UE w zakresie prewencji i reagowania na cyberzagrożenia.
- Sankcje za nieprzestrzeganie: NIS2 wprowadza surowsze kary finansowe dla podmiotów, które nie spełniają wymagań dotyczących bezpieczeństwa cyfrowego.
Co musisz zrobić?
Artykuł 21 NIS2 nakłada na państwa członkowskie obowiązek zapewnienia, aby podmioty istotne i ważne podejmowały odpowiednie środki zarządzania ryzykiem cyberbezpieczeństwa i zapobiegały lub minimalizowały wpływ incydentów na swoje usługi oraz odbiorców tych usług. Środki te powinny opierać się na podejściu obejmującym wszystkie zagrożenia i obejmować polityki dotyczące:
- analizy ryzyka i bezpieczeństwa systemów informatycznych;
- obsługi incydentów;
- ciągłości działania, takiej jak zarządzanie kopiami zapasowymi, odzyskiwanie po awarii oraz zarządzanie kryzysowe;
- bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa dotyczących relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub dostawcami usług;
- bezpieczeństwa w nabywaniu, rozwoju i utrzymaniu sieci i systemów informatycznych, w tym obsługi podatności i ujawniania;
- oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;
- podstawowych praktyk cyberhigieny oraz szkoleń z zakresu cyberbezpieczeństwa;
- wykorzystania szyfrowania;
- bezpieczeństwa zasobów ludzkich, kontroli dostępu i zarządzania zasobami;
- wykorzystania uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania, bezpiecznych komunikacji głosowych, wideo i tekstowych.
Podmioty, decydując, które z powyższych środków cyberbezpieczeństwa są odpowiednie, powinny brać pod uwagę podatności i praktyki związane z bezpieczeństwem (w tym bezpiecznego rozwoju) ich bezpośrednich dostawców i dostawców usług. Podmioty są także zobowiązane uwzględnić wyniki z koordynowanej analizy ryzyka bezpieczeństwa kluczowych łańcuchów dostaw.
Do października 2024 roku Komisja przyjmie akty wykonawcze określające wymagania techniczne i metodologiczne dla określonych dostawców usług (takich jak dostawcy usług DNS, dostawcy usług chmury obliczeniowej, dostawcy usług centrów danych, dostawcy sieci dostarczania treści, dostawcy zarządzanych usług bezpieczeństwa, dostawcy platform rynków online, wyszukiwarek internetowych i platform usług społecznościowych) oraz wymagania sektorowe dla innych podmiotów kluczowych i ważnych.
Jak wzrosną koszty w odniesieniu do nowych regulacji?
Według oceny wpływu towarzyszącej dyrektywie, przedsiębiorstwa podlegające ramom NIS2 będą potrzebować zwiększenia wydatków na bezpieczeństwo IT o nawet 22% w pierwszych latach po wprowadzeniu nowych ram NIS. Dla firm już objętych zakresem NIS 1 wyniosłoby to 12%.
Jednakże przewidywane jest, że znacząca redukcja kosztów incydentów związanych z cyberbezpieczeństwem zrekompensuje nowe wydatki na bezpieczeństwo. Dodatkowo raport inwestycji NIS 2020 ENISA wykazał, że europejscy operatorzy usług kluczowych i dostawcy usług cyfrowych wydali na cyberbezpieczeństwo o 41% mniej niż ich amerykańscy odpowiednicy, co wykazało istnienie różnicy w wydatkach na bezpieczeństwo między UE a USA.
Jak wybrać dostawcę usług cyberbezpieczeństwa do pomocy w wdrożeniu NIS 2?
Dyrektywa NIS 2 podkreśla specjalną rolę, jaką pełnią dostawcy zarządzanych usług bezpieczeństwa w pomaganiu organizacjom w spełnianiu ich obowiązków związanych z zarządzaniem incydentami cybernetycznymi.
Firmy zewnętrzne zatrudnione do pomocy w reagowaniu na incydenty, audytach bezpieczeństwa czy testach penetracyjnych powinny być wybierane ze zwiększoną ostrożnością, ponieważ mogą być także celem ataków cybernetycznych. Szczególnie istotne jest wybranie dostawców zarządzanych usług bezpieczeństwa, którzy są renomowani, posiadają niezbędne certyfikacje i doświadczenie w wspieraniu podmiotów kluczowych.
Jako Blue Energy Sp. z o.o. świadczymy kompleksowe usługi z zakresu cyberbezpieczeństwa. Wiedza i doświadczenie stanowią nasz fundament kompetencji. Zespół ekspertów cyberbezpieczeństwa posiada bogate doświadczenie w realizacji ponad 2000 projektów, stale poszerzając swoją wiedzę i zdobywając certyfikaty potwierdzające nabyte umiejętności. Aby dowiedzieć się więcej, zapraszamy do odwiedzenia naszej podstrony o nas – https://www.grupablue.pl/o-nas/
Powiązane artykuły na blogu
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.
11 stycznia pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych. Kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.
28 lutego br. na stronie UODO pojawiła się informacja o administracyjnej karze pieniężnej. Została ona nałożona na Spółkę Fortum Marketing and Sales Polska. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 4 911 732 zł.