close
menu

Zgodność z przepisami Dyrektywy NIS i NIS2

Pierwsza wersja NIS weszła w życie w 2018 roku. Głównym celem NIS jest stworzenie bardziej odpornego i bezpiecznego środowiska cyfrowego w państwach członkowskich Unii Europejskiej poprzez ustanowienie wspólnych standardów cyberbezpieczeństwa, wzmocnienie ochrony infrastruktury krytycznej, promowanie praktyk bezpieczeństwa cybernetycznego opartych na ryzyku oraz wspieranie współpracy i wymiany informacji między państwami członkowskimi i odpowiednimi zainteresowanymi stronami.

Zobacz film

cancel

Nowości w dyrektywie NIS2

Dyrektywa NIS2 w dużej mierze opiera się na tych samych zasadach, co NIS, ale z kilkoma ważnymi dodatkami. Oto najważniejsze z nich.

  • Uwzględniono więcej podmiotów (branż) i sektorów.
  • Wskazano nowe metody selekcji i rejestracji.
  • Określono nowe terminy powiadamiania o incydentach.
  • Zwiększono odpowiedzialność za zarządzanie i odpowiedzialność osobista.
  • Wprowadzono sankcje, takie jak te zawarte w RODO.
  • Nałożono obowiązek raportowania incydentów, również w przypadku tak zwanych zdarzeń potencjalnie wypadkowych.

Nowości w dyrektywie NIS2

Dyrektywa NIS2 już obowiązuje, jesteś gotowy?

Zarezerwuj bezpłatną konsultację

160  K+

Szacunkowa liczba przedsiębiorstw dotkniętych przez NIS2

10  €M

Maksymalna grzywna za nieprzestrzeganie przepisów NIS2

15

Liczba sektorów objętych dyrektywą NIS2

1  milion+

dotkniętych organizacji z powodu wymogów bezpieczeństwa łańcucha dostaw

Pobierz nasz
przewodnik po NIS2

Systematyczne podejście oparte na ryzyku

Wdrażanie opartych na ryzyku i systematycznych praktyk cyberbezpieczeństwa jest jednym z najważniejszych obszarów NIS i NIS2. Organizacje powinny skutecznie oceniać i zarządzać ryzykiem cyberbezpieczeństwa w oparciu o ich specyficzne okoliczności i potencjalny wpływ incydentów. Systematyczne podejście idzie w parze z tworzeniem proaktywnego podejścia - filaru każdej strategii cyberbezpieczeństwa.

Systematyczne podejście oparte na ryzyku

Środki zarządzania ryzykiem

Kluczowe i ważne podmioty muszą podejmować odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem związanym z systemami stanowiącymi podstawę ich usług oraz zapobiegania lub minimalizowania wpływu incydentów na ich i inne usługi.

Środki takie obejmują:

  • Analiza ryzyka i bezpieczeństwo systemów informatycznych.
  • Obsługa incydentów.
  • Środki ciągłości działania (kopie zapasowe, odzyskiwanie danych po awarii, zarządzanie kryzysowe).
  • Bezpieczeństwo łańcucha dostaw.
  • bezpieczeństwo nabywania, rozwijania i utrzymywania systemów, w tym obsługa i ujawnianie podatności w zabezpieczeniach.
  • Polityki i procedury oceny skuteczności środków zarządzania cyberryzykiem.
  • Podstawowa higiena komputerowa i szkolenia.
  • Zasady dotyczące właściwego stosowania kryptografii i szyfrowania
  • Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami.
  • Korzystanie z wieloskładnikowej zabezpieczonej komunikacji głosowej/wideo/tekstowej i zabezpieczonej komunikacji awaryjnej

Środki zarządzania ryzykiem

Obowiązki kierownictwa w NIS2

Odpowiedzialność kierownictwa jest fundamentem NIS2, ponieważ nowa dyrektywa zobowiązuje kierownictwo do przejęcia odpowiedzialności za poziom dojrzałości cyberbezpieczeństwa swoich organizacji. Obejmuje to przeprowadzanie ocen ryzyka i zatwierdzanie planów postępowania z ryzykiem, co oznacza, że kierownictwo musi uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa. Dyrektywa zobowiązuje również organizacje do szkolenia swoich pracowników w zakresie cyberryzyka i reagowania na nie.

Nieprzestrzeganie przez kierownictwo wymogów NIS2 może skutkować poważnymi konsekwencjami, w tym odpowiedzialnością, tymczasowymi zakazami i grzywnami administracyjnymi przewidzianymi w krajowych przepisach wykonawczych.

Organy zarządzające sektorów kluczowych i ważnych muszą:

  • Zatwierdzić adekwatność środków zarządzania ryzykiem cyberbezpieczeństwa podjętych przez podmiot.
  • Nadzorować wdrażanie środków zarządzania ryzykiem.
  • Przejść szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności do identyfikacji zagrożeń i oceny praktyk zarządzania cyberryzykiem oraz ich wpływu na usługi świadczone przez podmiot.
  • Regularnie oferować podobne szkolenia swoim pracownikom.
  • Brać odpowiedzialność za niezgodność z przepisami.

Obowiązki kierownictwa w NIS2

WEBINAR NA ŻĄDANIE

Ulepsz swoją cyberobronę, aby zachować zgodność z NIS2

Branże objęte NIS2

Pierwsza wersja NIS miała wpływ na ograniczoną liczbę sektorów. NIS2 obejmuje swoim zasięgiem łącznie 15 branż. Poprzednie rozróżnienie między operatorami usług kluczowych i dostawcami usług cyfrowych w oryginalnej dyrektywie NIS zostało zastąpione rozróżnieniem między podmiotami kluczowymi i ważnymi, w zależności od czynników takich jak wielkość, sektor i krytyczność dla społeczeństwa. Oba typy podmiotów muszą przestrzegać ram bezpieczeństwa cybernetycznego NIS2, podczas gdy podmioty kluczowe mają bardziej rygorystyczne wymogi w zakresie sprawozdawczości i nadzoru.

Sektory kluczowe

Energetyka

W tym produkcja energii elektrycznej, ropy naftowej i gazu

Czytaj więcej

Transport

W tym transport lotniczy, transport kolejowy, morski oraz drogowy.

Czytaj więcej

Opieka zdrowotna

W tym podsektor; środowiska opieki zdrowotnej (w tym szpitale i prywatne kliniki).

Czytaj więcej

Administracja publiczna

Wyznaczając sektor administracji publicznej jako sektor kluczowy, dyrektywa NIS2 uznaje znaczenie jego ochrony przed cyberzagrożeniami, odzwierciedlając jego krytyczne znaczenie.

Czytaj więcej

Bankowość i infrastruktura rynku finansowego

Infrastruktura rynku finansowego, np. usługi płatnicze.

Czytaj więcej

Infrastruktura cyfrowa

Infrastruktura cyfrowa, w tym rejestry DNS i TLD.

Czytaj więcej

Woda pitna i ścieki

Doprowadzanie i dystrybucja wody pitnej.

Przestrzeń kosmiczna

Dyrektywa NIS2 uznaje sektor kosmiczny za podmiot niezbędny, podlegający surowym wymogom w zakresie cyberbezpieczeństwa.

Sektory ważne

Dostawcy usług cyfrowych

Sektor dostawców usług cyfrowych to zróżnicowana i stale zmieniająca się branża, która obejmuje firmy oferujące produkty i usługi cyfrowe, w tym wyszukiwarki, rynki internetowe i sieci społecznościowe.

Czytaj więcej

Przemysł spożywczy

NIS2 klasyfikuje sektor spożywczy jako ważny podmiot. Obejmuje wszystkie etapy od rolnictwa do przetwarzania żywności, pakowania, transportu i sprzedaży detalicznej.

Czytaj więcej

Przemysł chemiczny

NIS2 odnosi się do istotnego aspektu krajobrazu przemysłowego, który ma kluczowe znaczenie dla konkurencyjności Europy, czyli przemysłu chemicznego obejmującego wytwarzanie, produkcję i dystrybucję chemikaliów. Przemysł chemiczny odgrywa kluczową rolę w dostarczaniu innowacyjnych materiałów i rozwiązań technologicznych w tym zakresie.

Produkcja

Sektor ten obejmuje produkcję: urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych oraz naczep i innego sprzętu transportowego.

Czytaj więcej

Badania naukowe

Sektor badawczy jest istotną siłą napędową innowacji i postępu, co czyni go cennym celem dla cyberprzestępców próbujących zakłócić działanie systemów krytycznych lub wykraść poufne dane naukowe.

Gospodarka odpadami

Biorąc pod uwagę kompleksowe zaangażowanie w zbieranie, transport, przetwarzanie i unieszkodliwianie odpadów, sektor gospodarki odpadami stoi w obliczu znacznego ryzyka cyberataków, które mogą zakłócić jego podstawowe operacje. Dyrektywa NIS2 obejmuje obecnie branżę gospodarki odpadami, zobowiązując ją do przestrzegania rygorystycznych wymogów w zakresie cyberbezpieczeństwa.

Usługi pocztowe i kurierskie

Uznając znaczenie sektora pocztowego, dyrektywa NIS2 nakazuje, aby organizacje działające w tej dziedzinie podejmowały niezbędne działania w celu wzmocnienia ich postawy w zakresie cyberbezpieczeństwa, czyniąc ją silną i odporną.

Jak Holm Security pomoże Ci uzyskać zgodność z NIS/NIS2?

Holm Security pomogło setkom organizacji w całej Unii Europejskiej w zapewnieniu zgodności z dyrektywą NIS, a teraz pomaga jeszcze większej liczbie w zapewnieniu zgodności z NIS2. Zapewniamy narzędzia potrzebne do podjęcia pierwszych kroków w kierunku zgodności.

Narzędzia te pozwalają na:

  • Przeprowadzanie zautomatyzowanych i ciągłych (systematycznych) ocen ryzyka.
  • Stworzenie proaktywnego podejścia do cyberbezpieczeństwa.
  • Wdrożenie podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa.
  • Zapewnienie narzędzi potrzebnych do zabezpieczenia łańcucha dostaw.
  • Pomoc kierownictwu w nadzorowaniu wdrażania zarządzania ryzykiem.
  • Wykazanie zgodności na podstawie danych i raportów.

Compliance Experts EU Directive

Jak Holm Security pomoże Ci uzyskać zgodność z NIS/NIS2?

Pomożemy Ci uzyskać zgodność z dyrektywą NIS2.

Zacznij już dziś.

Często zadawane pytania FAQ

Tutaj znajdziesz odpowiedzi na najczęściej zadawane pytania dotyczące dyrektywy NIS/ NIS2

Skąd mam wiedzieć, czy moja organizacja musi być zgodna z NIS2?

Pierwszym krokiem do zapewnienia zgodności z NIS2 jest zrozumienie, czy Twoja organizacja musi spełnić wymagania. Zalecamy zapoznanie się z naszym Przewodnikiem po NIS2 i zapoznanie się z wytycznymi władz lokalnych.

Jakie sektory podlegają pod NIS2?

Wymienione poniżej sektory muszą być zgodne z NIS2, z wyjątkiem niektórych mniejszych organizacji (patrząc na liczbę pracowników i roczny obrót).

Sektory objęte systemem NIS:

  • Opieka zdrowotna
  • Infrastruktura cyfrowa
  • Transport
  • Zaopatrzenie w wodę
  • Dystrybutorzy cyfrowi (dostawcy usług)
  • Bankowość i infrastruktura rynku finansowego
  • Rynek finansowy
  • Energetyka

Sektory, które dodano w NIS2:

  • Administracja publiczna
  • Infrastruktura cyfrowa
  • Wodociągi
  • Gospodarka odpadami
  • Produkcja i wytwarzanie
  • Przemysł chemiczny
  • Przemysł spożywczy
  • Przestrzeń kosmiczna
  • Usługi pocztowe i kurierskie

Jaki jest główny cel NIS i NIS2?

Zwiększenie cyberbezpieczeństwa w Europie

NIS2 zachęca państwa członkowskie Unii Europejskiej i operatorów infrastruktury krytycznej do zwiększenia ich odporności w zakresie cyberbezpieczeństwa i gotowości do skutecznego reagowania na incydenty cybernetyczne i wychodzenia z nich.

Ujednolicenie standardów cyberbezpieczeństwa

Ma na celu harmonizację standardów i praktyk w zakresie cyberbezpieczeństwa w całej Unii Europejskiej, aby zapewnić spójny i wysoki poziom bezpieczeństwa w całym środowisku cyfrowym.

Obowiązkowe zgłaszanie incydentów

NIS2 nakłada obowiązek zgłaszania istotnych incydentów cybernetycznych organom krajowym i ustanawia skoordynowany mechanizm wymiany informacji na temat zagrożeń i incydentów cybernetycznych między państwami członkowskimi.

Ochrona infrastruktury krytycznej

Dyrektywa specjalizuje się w ochronie sektorów infrastruktury krytycznej, takich jak energetyka, transport, opieka zdrowotna i infrastruktura cyfrowa, wymagając od nich spełnienia określonych wymogów bezpieczeństwa cybernetycznego.

Egzekwowanie przepisów i kary

NIS2 wprowadza środki skutecznego egzekwowania wymogów bezpieczeństwa cybernetycznego i kar za ich nieprzestrzeganie, zachęcając organizacje do inwestowania w środki cyberbezpieczeństwa.

Współpraca i wymiana informacji

Promuje współpracę i wymianę informacji między państwami członkowskimi UE oraz między sektorem publicznym i prywatnym w celu wzmocnienia zbiorowej cyberobrony.

Kiedy NIS2 wejdzie w życie?

Dyrektywa NIS2 ma zostać ratyfikowana przez wszystkie państwa członkowskie UE do 2025 roku. Jest to kluczowa data dla firm, na którą należy zwrócić uwagę, ponieważ nieprzestrzeganie dyrektywy może skutkować poważnymi konsekwencjami, takimi jak kary finansowe i utrata reputacji. W związku z tym ważne jest, aby firmy przygotowały się i poczyniły niezbędne przygotowania, aby zapewnić pełną zgodność na długo przed upływem terminu. Nie czekaj, aż będzie za późno - działaj już teraz, aby uniknąć potencjalnych negatywnych konsekwencji.

Jaka jest różnica między sektorem kluczowym a ważnym?

Różnica między nimi nie polega na tym, jakie wymogi muszą spełniać, ponieważ pozostają one takie same dla obu sektorów, ale raczej na tym, jakie środki nadzorcze i kary będą miały zastosowanie. Podmioty w obu kategoriach będą musiały spełniać te same wymogi. Różnica będzie jednak polegać na środkach nadzorczych i karach.

Podmioty w sektorze kluczowym będą musiały spełniać wymogi nadzorcze od momentu wprowadzenia NIS2, podczas gdy podmioty w sektorze ważnym będą podlegać nadzorowi ex-post, co oznacza, że działania będą podejmowane tylko wtedy, gdy organy otrzymają dowody na niezgodność.

Jakie są kary NIS2?

Dyrektywa NIS2 przyjmuje nowe podejście do administracyjnych kar pieniężnych, w zależności od sektora, w którym znajduje się organizacja.

Sektory kluczowe

Maksymalnie 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, do którego należała organizacja w poprzednim roku obrotowym, w zależności od tego, która z tych kwot jest wyższa.

Sektory ważne

Maksymalnie 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa, do którego należała organizacja w poprzednim roku obrotowym, w zależności od tego, która z tych wartości jest wyższa.

W jaki sposób firma Holm Security może pomóc mojej organizacji w zapewnieniu zgodności z NIS2?

Wdrażanie praktyk cyberbezpieczeństwa opartych na ryzyku jest jednym z najważniejszych obszarów NIS i NIS2. Holm Security pomaga organizacjom, które muszą zachować zgodność z NIS i NIS2 w kilku kluczowych obszarach:

  • Przeprowadzać zautomatyzowane i ciągłe (systematyczne) oceny ryzyka.
  • Stworzyć proaktywne podejście do cyberbezpieczeństwa.
  • Wdrożyć podstawowe praktyki higieny cybernetycznej i szkolenia w zakresie cyberbezpieczeństwa.
  • Zapewnić narzędzia potrzebne do zabezpieczenia łańcucha dostaw.
  • Pomoc kierownictwu w nadzorowaniu wdrażania zarządzania ryzykiem.
  • Wykazać zgodność w oparciu o dane i raporty.

Czy zarządzanie podatnościami w zabezpieczeniach jest wymagane do zachowania zgodności z NIS i NIS2?

Odnosząc się do wymogów określonych przez UE i władze lokalne, skanowanie podatności jest wymogiem, gdyż jest częścią kluczowego elementu: oceny ryzyka. Dla przykładu irlandzkie Narodowe Centrum Cyberbezpieczeństwa (NCSC) i szwedzka Agencja ds. Sytuacji Nadzwyczajnych (MSB) odnoszą się do zarządzania podatnościami jako krytycznego elementu zgodności z dyrektywą NIS2.

Co należy wziąć pod uwagę w odniesieniu do naszych dostawców, przestrzegając przepisów NIS/NIS2?

Jednym z głównych obszarów zainteresowania NIS2 jest zabezpieczenie łańcucha dostaw. Oznacza to, że będziesz musiał upewnić się, że nie tylko Twoja organizacja jest bezpieczna, ale także Twoi dostawcy. Innymi słowy, będziesz odpowiedzialny za zabezpieczenie całego łańcucha dostaw. Chętnie opowiemy więcej o naszych rozwiązaniach zabezpieczających łańcuch dostaw.

Jestem dostawcą dla organizacji, która musi zachować zgodność z NIS/NIS2 - co powinienem wziąć pod uwagę?

Jako dostawca dla organizacji, która musi być zgodna z NIS/NIS2, musisz upewnić się, że spełniasz wymagania bezpieczeństwa. Nawet jeśli NIS2 nie uderzy bezpośrednio w Twoją organizację, nadal musisz zachować zgodność. Skontaktuj się z nami, aby omówić, w jaki sposób możemy pomóc Ci przygotować się do spełnienia przyszłych wymagań NIS2 dla łańcucha dostaw.

Jaka jest różnica między NIS/NIS2 a DORA?

Digital Operational Resilience Act (DORA) to rozporządzenie Unii Europejskiej (UE), które tworzy wiążące, kompleksowe ramy zarządzania ryzykiem w zakresie technologii informacyjno-komunikacyjnych (ICT) dla sektora finansowego UE. DORA ma wiele podobieństw do NIS i NIS2, takich jak podejście oparte na ryzyku, ale ogranicza się do sektora finansowego, podczas gdy NIS2 ma zastosowanie do wielu branż niezbędnych dla społeczeństwa.

Dyrektywa i regulacja

NIS jest dyrektywą, podczas gdy DORA jest rozporządzeniem.

Dyrektywa wyznacza kierunek i nie może być stosowana w obecnej formie w każdym państwie członkowskim UE. Musi ona najpierw zostać zaimplementowana do prawa krajowego każdego kraju.

Rozporządzenie natomiast obowiązuje w niezmienionej formie we wszystkich państwach członkowskich od momentu jego wejścia w życie. Jest ono wiążącym aktem prawnym i musi być egzekwowane w całości.

Co jeszcze się zmieniło?

Dyrektywa NIS2 harmonizuje globalny poziom cyberbezpieczeństwa w całej Unii Europejskiej. Jej celem jest zapewnienie, że firmy i organizacje najważniejsze dla sprawnego funkcjonowania naszego społeczeństwa osiągną wysoki poziom bezpieczeństwa cyfrowego.

Rozporządzenie DORA ma na celu wzmocnienie cyfrowej odporności operacyjnej sektora finansowego. Jego rolą jest zapewnienie, że podmioty finansowe mogą wytrzymać i działać nawet podczas cyberataku. Dostępność i integralność usług finansowych stanowią sedno rozporządzenia.

W praktyce oba teksty raczej się uzupełniają niż ze sobą konkurują. NIS2 ma na celu wzmocnienie ogólnego poziomu cyberbezpieczeństwa w UE, podczas gdy DORA zapewnia, że system finansowy pozostanie funkcjonalny nawet podczas cyberataku.

Więcej informacji na temat DORA można znaleźć tutaj

Wszystko co powinieneś wiedzieć o DORA | Blog | Holm Security