21 kwietnia 2023

Czym jest dyrektywa NIS2 i jak wpłynie na Twoją organizację?

Dyrektywa NIS[1] jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Została przyjęta 6 lipca 2016 roku i nakłada na państwa członkowskie Unii Europejskiej szereg obowiązków. Między innymi nakazuje powołanie konkretnych instytucji oraz współpracę w zakresie cyberbezpieczeństwa z pozostałymi członkami UE.

Sześć lat później, w listopadzie 2022 roku, Parlament Europejski zaktualizował przepisy UE, przyjmując dyrektywę NIS2. Jest ona reakcją na postępującą transformację cyfrową oraz zwiększone ryzyko zagrożeń związanych z cyfryzacją i gwałtownym wzrostem liczby cyberataków. Celem nowych przepisów jest zapewnienie wysokiego poziomu odpowiedzialności za zarządzanie ryzykiem w bezpieczeństwie sieci IT, a także harmonizacja standardów przyjętych w krajach UE.

Ransomware oraz inne cyberzagrożenia żerowały na Europie zdecydowanie za długo. Musimy działać, żeby nasze przedsiębiorstwa, rządy i społeczeństwa stały bardziej odporne na wrogie cyberataki

Bart Groothuis,
holenderski poseł do Parlamentu Europejskiego

Dyrektywa NIS2 różni się od oryginalnej dyrektywy tym, że rozszerza liczbę krytycznych dla cyberbezpieczeństwa Państw i Unii Europejskiej sektorów gospodarki oraz zwiększa liczbę podmiotów, które muszą spełniać wymogi dotyczące bezpieczeństwa IT.

W oryginalnej dyrektywie następujące sektory zostały uznane za krytyczne i wymagające wzmocnienia bezpieczeństwa:

  • Zdrowie
  • Transport
  • Infrastruktura bankowości i rynków finansowych
  • Infrastruktura cyfrowa
  • Wodociągi
  • Energetyka
  • Dostawcy usług cyfrowych

Dyrektywa NIS2 obejmuje teraz osiem kolejnych sektorów nierozerwalnie związanych z naszym codziennym życiem, w tym również sektor publiczny:

  • Dostawcy środków łączności elektronicznej, sieci lub usług
  • Usługi cyfrowe, takie jak platformy mediów społecznościowych lub centra danych
  • Gospodarowanie ściekami oraz odpadami
  • Przestrzeń kosmiczna
  • Wytwarzanie produktów krytycznych (farmaceutycznych, medycznych, chemicznych...)
  • Usługi pocztowe i kurierskie
  • Żywność i napoje
  • Administracja publiczna

Podsumowując, dyrektywa NIS2 po zmianach obejmuje 15 sektorów, które znacząco wpłyną na polskie przedsiębiorstwa i organy publiczne.

Obowiązki w zakresie bezpieczeństwa

W ramach dyrektywy NIS2 znajdziemy również nowe obowiązki w kwestii cyberbezpieczeństwa. Bazują one na podejściu systematycznym, analitycznym i opartym na ryzyku, zgodnie z innymi regulacjami, takimi jak RODO. Zarządzanie ryzykiem i reagowanie na incydenty ma kluczowe znaczenie. Dlatego też w nowej dyrektywie NIS2 zamieszczono listę siedmiu kluczowych działań:

  1. Analiza ryzyka i polityka bezpieczeństwa systemów informatycznych
  2. Obsługa incydentów (działania prewencyjne, wykrywanie incydentów i reagowanie na nie)
  3. Ciągłość działania i zarządzanie kryzysowe
  4. Bezpieczeństwo łańcucha dostaw – w tym związane z bezpieczeństwem aspekty relacji pomiędzy każdym podmiotem a
    1. jego dostawcami lub
    2. dostawcami usług (takimi jak dostawcy usług przechowywania i przetwarzania danych lub dostawcy usług zarządzanych w zakresie bezpieczeństwa)
  5. Bezpieczeństwo w nabywaniu, rozwijaniu oraz utrzymywaniu sieci i systemów informatycznych, w tym obsługa słabych punktów i ich ujawnianie
  6. Polityki i procedury oceny skuteczności środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa
  7. Zastosowanie kryptografii i szyfrowania

Zostanie wprowadzony także dwuetapowy proces zgłaszania incydentów do odpowiednich organów regulacyjnych. Oznacza to, że w przypadku naruszenia bezpieczeństwa organizacje są zobowiązane do złożenia wstępnego sprawozdania w ciągu 24 godzin, a następnie mają miesiąc na złożenie sprawozdania końcowego. Zmianie ulegnie również wysokość sankcji dla firm, które nie przestrzegają przepisów lub je naruszają. W sytuacji, gdy dojdzie do incydentu bezpieczeństwem, a firma odmówi współpracy z władzami, podmiot będzie musiał dostosować się do żądań państwa. W tej sytuacji może zostać nałożona kara finansowa w wysokości od 1,4% do 2% rocznych przychodów firmy.

Podsumowując, wraz z wprowadzeniem dyrektywy NIS2 będzie trzeba przyjąć nowe sposoby proaktywnego wykrywania i przeciwdziałania cybrerzagrożeniom.

Dzięki dyrektywie NIS2 ma nastąpić też poprawa zbiorowej zdolności UE do reagowania na cyberzagrożenia. Jej głównymi założeniami są:

  • Większa odpowiedzialność spoczywa na najwyższym organie zarządzającym przedsiębiorstwem – musi on zarówno zatwierdzać, jak i kontrolować wprowadzanie środków bezpieczeństwa, a także odpowiada za odstępstwa.
  • Edukacja w obszarze cyberbezpieczeństwa jest wymagana na wszystkich szczeblach – od zarządu aż po samych pracowników.
  • Wyraźnie zaznaczono wymóg oceny ryzyka i kontroli cyberbezpieczeństwa w postaci polityk.
  • Wiadomo, jak należy dobierać środki bezpieczeństwa, dostępna jest też lista środków obowiązkowych, które każdy musi wdrożyć.

Kiedy spodziewane jest wejście w życie dyrektywy NIS2?

Dyrektywa NIS2 została przyjęta i oficjalnie ogłoszona pod koniec grudnia 2022 roku. Od tego czasu państwa członkowskie UE mają 21 miesięcy na jej wdrożenie. Natomiast już w 18 miesięcy od przyjęcia dyrektywy, organizacje, których ona dotyczy, muszą być w stanie się do niej dostosować. Za niedostosowanie się do NIS2 grozi kara grzywny w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.

Zanim jednak wejdzie w życie, kluczowe jest zrozumienie, co dokładnie oznacza to dla przedsiębiorstwa, zarówno w zakresie zgodności z przepisami, ale także w związku ze zmianą dotychczasowego procesu itp.

Działaj zgodnie z prawem i zaleceniami dzięki Holm Security

Z nowoczesną platformą do zarządzania podatnościami, firmy mogą dostosować swój program cyberbezpieczeństwa do konkretnych potrzeb organizacyjnych i podatności operacyjnych. Holm Security zapewnia stały monitoring w celu identyfikacji słabych punktów, zmniejszeniu ryzyka i zapewnieniu zgodności z przepisami. Narzędzie to umożliwia nadanie priorytetów lukom w zabezpieczeniach i wzmocnienie cyklu ciągłego adresowania nowych zagrożeń i podatności. Dodatkowym atutem jest możliwość tworzenia szablonów raportów specyficznych dla potrzeb zgodności. W dalszych krokach analiza tych raportów pozwala na zrozumienie ryzyka, z którym firma na do czynienia, oraz pomaga określić, które konkretne problemy wymagają rozwiązania.

Holm Security pomogła setkom organizacji spełnić wymagania dyrektywy NIS, kładąc podwaliny pod systematyczne, analityczne i oparte na ryzyku podejście do cyberzagrożeń poprzez ciągłe i zautomatyzowane zarządzanie podatnościami. Dla klientów nowoczesna platforma do zarządzania podatnościami stanowi duży krok w kierunku bardziej systematycznego podejścia do cyberzagrożeń oraz tworzy fundament dla silniejszej cyberobrony.

Holm Security zapewnia potrzebne narzędzia oraz szkolenia, serwis i wsparcie, dzięki którym zgodność z dyrektywą NIS2 stanie się częścią codziennej pracy.

Dowiedz się więcej o Holm Security

Autorem tekstu jest Joanna Świerczyńska

Patryk Ćwięczek
junior product manager Holm Security

Masz pytania?
Skontaktuj się ze mną:
cwieczek.p@dagma.pl