Zgodność z przepisami Dyrektywa NIS i NIS2

Pierwsza wersja NIS weszła w życie w 2018 roku. Głównym celem NIS jest stworzenie bardziej odpornego i bezpiecznego środowiska cyfrowego w państwach członkowskich Unii Europejskiej poprzez ustanowienie wspólnych standardów cyberbezpieczeństwa, wzmocnienie ochrony infrastruktury krytycznej, promowanie praktyk bezpieczeństwa opartych na ryzyku oraz wspieranie współpracy i wymiany informacji między państwami członkowskimi i zainteresowanymi stronami. Ponieważ krajobraz zagrożeń stale się zmienia, a zagrożenia stają się coraz większe, UE postanowiła rozwinąć NIS o drugą wersję. Dyrektywa NIS2 wejdzie w życie w październiku 2024 r. i ma na celu usprawnienie prac rozpoczętych wraz z dyrektywą NIS.

cancel

Nowości w dyrektywie NIS2

Dyrektywa NIS2 w dużej mierze opiera się na tych samych zasadach, co NIS, ale z kilkoma ważnymi dodatkami. Oto najważniejsze z nich.

  • Uwzględniono więcej podmiotów (branż) i sektorów.
  • Wskazano nowe metody selekcji i rejestracji.
  • Określono nowe terminy powiadamiania o incydentach.
  • Zwiększono odpowiedzialność za zarządzanie i odpowiedzialność osobista.
  • Wprowadzono sankcje, takie jak te zawarte w RODO.
  • Nałożono obowiązek raportowania incydentów, również w przypadku tak zwanych zdarzeń potencjalnie wypadkowych.

Jesteś gotowy na NIS2? Wchodzi w życie za:

NIS2 wejdzie w życie w październiku 2024 r.

 
 
 
 

160  K+

Szacunkowa liczba przedsiębiorstw dotkniętych przez NIS2

10  €M

Maksymalna grzywna za nieprzestrzeganie przepisów NIS2

15

Liczba sektorów objętych dyrektywą NIS2

1  milion+

dotkniętych organizacji z powodu wymogów bezpieczeństwa łańcucha dostaw

Systematyczne podejście oparte na ryzyku

Wdrażanie opartych na ryzyku i systematycznych praktyk cyberbezpieczeństwa jest jednym z najważniejszych obszarów NIS i NIS2. Organizacje powinny skutecznie oceniać i zarządzać ryzykiem cyberbezpieczeństwa w oparciu o ich specyficzne okoliczności i potencjalny wpływ incydentów. Systematyczne podejście idzie w parze z tworzeniem proaktywnego podejścia - filaru każdej strategii cyberbezpieczeństwa.

Środki zarządzania ryzykiem

Kluczowe i ważne podmioty muszą podejmować odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem związanym z systemami stanowiącymi podstawę ich usług oraz zapobiegania lub minimalizowania wpływu incydentów na ich i inne usługi.

  1. Analiza ryzyka i bezpieczeństwo systemów informatycznych.
  2. Obsługa incydentów.
  3. Środki ciągłości działania (kopie zapasowe, odzyskiwanie po awarii i zarządzanie kryzysowe).
  4. Bezpieczeństwo łańcucha dostaw.
  5. Bezpieczeństwo nabywania, rozwijania i utrzymywania systemów, w tym obsługa i ujawnianie podatności w zabezpieczeniach.
  6. Polityki i procedury oceny skuteczności środków zarządzania cyberryzykiem.
  7. Podstawowa higiena komputerowa i szkolenia.
  8. Zasady dotyczące właściwego stosowania kryptografii i szyfrowania.
  9. Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami.
  10. Korzystanie z wieloskładnikowej, zabezpieczonej komunikacji głosowej/wideo/tekstowej i zabezpieczonej komunikacji awaryjnej.

Obowiązki kierownictwa w NIS2

Kierownictwo wyższego szczebla ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem cyberbezpieczeństwa w podmiotach istotnych i ważnych. Nieprzestrzeganie przez kierownictwo wymogów NIS2 może skutkować poważnymi konsekwencjami, w tym tymczasowymi zakazami i grzywnami administracyjnymi przewidzianymi w krajowych przepisach wykonawczych.

Organy zarządzające sektorów kluczowych i ważnych muszą:

  • Zatwierdzić adekwatność środków zarządzania ryzykiem cyberbezpieczeństwa podjętych przez podmiot.
  • Nadzorować wdrażanie środków zarządzania ryzykiem.
  • Przejść szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności do identyfikacji zagrożeń i oceny praktyk zarządzania cyberryzykiem oraz ich wpływu na usługi świadczone przez podmiot.
  • Regularnie oferować podobne szkolenia swoim pracownikom.
  • Brać odpowiedzialność za niezgodność z przepisami.

Branże objęte NIS2

Pierwsza wersja NIS miała ograniczoną liczbę sektorów. Wraz z NIS2 rozszerzono zasięg do 15 podmiotów podzielonych pomiędzy 2 sektory: kluczowe i ważne. Choć oba typy podmiotów muszą przestrzegać ram bezpieczeństwa NIS2, to kluczowe podmioty mają bardziej rygorystyczne ramy.

Sektory kluczowe

Energetyka

W tym produkcja energii elektrycznej, ropy i gazu.

Poznaj branżę

Transport

W tym transport lotniczy, transport kolejowy, morski oraz drogowy.

Dowiedz się więcej

Opieka zdrowotna

W tym podsektor; środowiska opieki zdrowotnej (w tym szpitale i prywatne kliniki).

Czytaj więcej

Administracja publiczna

Wyznaczając sektor administracji publicznej jako sektor kluczowy, dyrektywa NIS2 uznaje znaczenie jego ochrony przed cyberzagrożeniami, odzwierciedlając jego krytyczne znaczenie.

Poznaj branżę

Bankowość i infrastruktura rynku finansowego

Infrastruktura rynku finansowego, np. usługi płatnicze.

Infrastruktura cyfrowa

Infrastruktura cyfrowa, w tym rejestry DNS i TLD.

Wodociągi

Doprowadzanie i dystrybucja wody pitnej.

Przestrzeń kosmiczna

Dyrektywa NIS2 uznaje sektor kosmiczny za podmiot niezbędny, podlegający surowym wymogom w zakresie cyberbezpieczeństwa.

Sektory ważne

Dostawcy usług cyfrowych

Sektor dostawców usług cyfrowych to zróżnicowana i stale zmieniająca się branża, która obejmuje firmy oferujące produkty i usługi cyfrowe, w tym wyszukiwarki, rynki internetowe i sieci społecznościowe.

Przemysł spożywczy

NIS2 klasyfikuje sektor spożywczy jako ważny podmiot. Obejmuje wszystkie etapy od rolnictwa do przetwarzania żywności, pakowania, transportu i sprzedaży detalicznej.

Przemysł chemiczny

NIS2 odnosi się do istotnego aspektu krajobrazu przemysłowego, który ma kluczowe znaczenie dla konkurencyjności Europy, czyli przemysłu chemicznego obejmującego wytwarzanie, produkcję i dystrybucję chemikaliów. Przemysł chemiczny odgrywa kluczową rolę w dostarczaniu innowacyjnych materiałów i rozwiązań technologicznych w tym zakresie.

Produkcja

Sektor ten obejmuje produkcję: urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych oraz naczep i innego sprzętu transportowego.

Badania naukowe

Sektor badawczy jest istotną siłą napędową innowacji i postępu, co czyni go cennym celem dla cyberprzestępców próbujących zakłócić działanie systemów krytycznych lub wykraść poufne dane naukowe.

Gospodarka odpadami

Biorąc pod uwagę kompleksowe zaangażowanie w zbieranie, transport, przetwarzanie i unieszkodliwianie odpadów, sektor gospodarki odpadami stoi w obliczu znacznego ryzyka cyberataków, które mogą zakłócić jego podstawowe operacje. Dyrektywa NIS2 obejmuje obecnie branżę gospodarki odpadami, zobowiązując ją do przestrzegania rygorystycznych wymogów w zakresie cyberbezpieczeństwa.

Usługi pocztowe i kurierskie

Uznając znaczenie sektora pocztowego, dyrektywa NIS2 nakazuje, aby organizacje działające w tej dziedzinie podejmowały niezbędne działania w celu wzmocnienia ich postawy w zakresie cyberbezpieczeństwa, czyniąc ją silną i odporną.

Jak Holm Security pomoże Ci uzyskać zgodność z NIS/NIS2?

Holm Security pomogło setkom organizacji w całej Unii Europejskiej w zapewnieniu zgodności z dyrektywą NIS, a obecnie wspiera jeszcze więcej organizacji w spełnieniu warunków NIS2.

  • Przeprowadzanie zautomatyzowanych i ciągłych (systematycznych) ocen ryzyka.
  • Proaktywne podejście do cyberbezpieczeństwa.
  • Wdrożenie podstawowych praktyk higieny cybernetycznej i szkoleń w zakresie cyberbezpieczeństwa.
  • Zapewnienie narzędzi potrzebnych do zabezpieczenia łańcucha dostaw.
  • Pomoc kierownictwu w nadzorowaniu wdrażania zarządzania ryzykiem.
  • Wykazanie zgodności na podstawie danych i raportów.

Nie czekaj, aż będzie za późno. Pomożemy Ci zachować zgodność z przepisami NIS2

Rozpocznij swoją podróż w kierunku zgodności już teraz.

Często zadawane pytania FAQ

Tutaj znajdziesz odpowiedzi na najczęściej zadawane pytania dotyczące dyrektywy NIS/ NIS2

Skąd mam wiedzieć, czy moja organizacja musi być zgodna z NIS2?

Pierwszym krokiem do zapewnienia zgodności z NIS2 jest zrozumienie, czy Twoja organizacja musi spełnić wymagania. Zalecamy zapoznanie się z naszym skróconym opisem NIS2 i odniesienie się do wytycznych władz lokalnych.

Jaki jest główny cel NIS i NIS2?

Zwiększenie cyberbezpieczeństwa w Europie.

NIS2 zachęca państwa członkowskie UE i operatorów infrastruktury krytycznej do zwiększenia odporności i gotowości w zakresie cyberbezpieczeństwa w celu skutecznego reagowania na incydenty i odzyskiwania sprawności po ich wystąpieniu.

Ujednolicenie standardów cyberbezpieczeństwa

Ma na celu harmonizację standardów i praktyk bezpieczeństwa cybernetycznego w całej Unii Europejskiej, aby zapewnić spójny i wysoki poziom bezpieczeństwa w całym cyfrowym krajobrazie.

Obowiązkowe zgłaszanie incydentów

NIS2 zobowiązuje do zgłaszania istotnych incydentów cybernetycznych organom krajowym i ustanawia skoordynowany mechanizm wymiany informacji na temat zagrożeń i incydentów cybernetycznych między państwami członkowskimi.

Ochrona infrastruktury krytycznej

Dyrektywa specjalizuje się w ochronie sektorów infrastruktury krytycznej, takich jak energetyka, transport, opieka zdrowotna i infrastruktura cyfrowa, wymagając od nich spełnienia określonych wymogów bezpieczeństwa cybernetycznego.

Egzekwowanie przepisów i kary

NIS2 wprowadza środki skutecznego egzekwowania wymogów bezpieczeństwa cybernetycznego i kar za ich nieprzestrzeganie, zachęcając organizacje do inwestowania w środki cyberbezpieczeństwa.

Współpraca i wymiana informacji

Promuje współpracę i wymianę informacji między państwami członkowskimi UE oraz między sektorem publicznym i prywatnym w celu wzmocnienia zbiorowej cyberobrony.

Dlaczego powstał NIS2?

Poznaj główne powody, dla których druga wersja NIS (NIS2) pojawi się w październiku 2024 roku:

  • Ewoluujący krajobraz cyberzagrożeń
  • Zwiększona zależność od cyfrowej infrastruktury cyfrowej
  • Postęp technologiczny
  • Wnioski wyciągnięte z NIS(1)
  • Harmonizacja i spójne wdrażanie
  • Rozszerzenie zakresu
  • Dostosowanie do innych przepisów UE
  • Współpraca międzynarodowa

Jakie są nowości w NIS2?

Nowości w NIS2 są następujące:

  • Uwzględniono więcej podmiotów (branż) i sektorów.
  • Wprowadzono nowe metody selekcji i rejestracji.
  • Określono nowe terminy zgłaszania incydentów.
  • Zwiększono odpowiedzialność za zarządzanie i odpowiedzialność osobista.
  • Wprowadzono sankcje, takie jak te zawarte w RODO.
  • Nałożono obowiązek raportowania o incydentach, również w przypadku tzw. zdarzeń potencjalnie wypadkowych.

Kiedy NIS2 wejdzie w życie?

Dyrektywa NIS2 ma zostać wprowadzona do obowiązującego prawa krajowego przez wszystkie państwa członkowskie UE do 17 października 2024 roku. Jest to kluczowa data dla firm, na którą należy zwrócić uwagę, ponieważ nieprzestrzeganie dyrektywy może skutkować poważnymi konsekwencjami, takimi jak kary finansowe i utrata reputacji. Firmy muszą więc przygotować się do zapewnienia pełnej zgodności na długo przed upływem terminu. Pamiętaj, aby działać już teraz, żeby uniknąć potencjalnych negatywnych konsekwencji.

Jakie są kary NIS2?

Dyrektywa NIS2 przyjmuje nowe podejście do administracyjnych kar pieniężnych, w zależności od sektora, w którym znajduje się organizacja.

Sektory kluczowe

Maksymalnie 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, do którego należała organizacja w poprzednim roku obrotowym, w zależności od tego, która z tych kwot jest wyższa.

Sektory ważne

Maksymalnie 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa, do którego należała organizacja w poprzednim roku obrotowym, w zależności od tego, która z tych wartości jest wyższa.

W jaki sposób firma Holm Security może pomóc mojej organizacji w zapewnieniu zgodności z NIS2?

Wdrażanie praktyk cyberbezpieczeństwa opartych na ryzyku jest jednym z najważniejszych obszarów NIS i NIS2. Holm Security pomaga organizacjom, które muszą zachować zgodność z NIS i NIS2 w kilku kluczowych obszarach:

  • Przeprowadzanie zautomatyzowanych i ciągłych (systematycznych) ocen ryzyka.
  • Tworzenie proaktywnego podejścia do cyberbezpieczeństwa.
  • Wdrażanie podstawowych praktyk higieny i szkoleń z zakresu cyberbezpieczeństwa.
  • Zapewnienie narzędzi niezbędnych do zabezpieczenia łańcucha dostaw.
  • Pomoc kierownictwu w nadzorowaniu wdrażania zarządzania ryzykiem.
  • Wykazanie zgodności w oparciu o dane i raporty.

Czy zarządzanie podatnościami w zabezpieczeniach jest wymagane do zachowania zgodności z NIS i NIS2?

Odnosząc się do wymogów określonych przez UE i władze lokalne, skanowanie podatności jest wymogiem, gdyż jest częścią kluczowego elementu: oceny ryzyka. Dla przykładu irlandzkie Narodowe Centrum Cyberbezpieczeństwa (NCSC) i szwedzka Agencja ds. Sytuacji Nadzwyczajnych (MSB) odnoszą się do zarządzania podatnościami jako krytycznego elementu zgodności z dyrektywą NIS2.

Co należy wziąć pod uwagę w odniesieniu do naszych dostawców, przestrzegając przepisów NIS/NIS2?

Jednym z głównych obszarów zainteresowania NIS2 jest zabezpieczenie łańcucha dostaw. Oznacza to, że będziesz musiał upewnić się, że nie tylko Twoja organizacja jest bezpieczna, ale także Twoi dostawcy. Innymi słowy, będziesz odpowiedzialny za zabezpieczenie całego łańcucha dostaw. Chętnie opowiemy więcej o naszych rozwiązaniach zabezpieczających łańcuch dostaw.

Jestem dostawcą dla organizacji, która musi zachować zgodność z NIS/NIS2 - co powinienem wziąć pod uwagę?

Jako dostawca dla organizacji, która musi być zgodna z NIS/NIS2, musisz upewnić się, że spełniasz wymagania bezpieczeństwa. Nawet jeśli NIS2 nie uderzy bezpośrednio w Twoją organizację, nadal musisz zachować zgodność. Skontaktuj się z nami, aby omówić, w jaki sposób możemy pomóc Ci przygotować się do spełnienia przyszłych wymagań NIS2 dla łańcucha dostaw.