Cyberbezpieczeństwo to temat, który nigdy nie traci na znaczeniu, zwłaszcza w dzisiejszym, coraz bardziej cyfrowym świecie. Jednym z kroków Unii Europejskiej na drodze do poprawy bezpieczeństwa cybernetycznego w Unii Europejskiej jest wprowadzenie Dyrektywy NIS 2, czyli Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.
Ta mająca na celu przygotowanie państw członkowskich do współdziałania i przygotowania odpowiedniego poziomu reakcji na możliwe incydenty dotyczące naruszeń cyberbezpieczeństwa, kontynuacja Dyrektywy NIS, ma być wdrożona do krajowych przepisów prawnych już w październiku przyszłego roku. Firmy i instytucje mają więc niewiele czasu na dostosowanie się do zawartych w niej wytycznych.
Rewolucja NIS 2 dotyczy kilku tysięcy firm
Jedną z kluczowych zmian wprowadzonych przez Dyrektywę NIS 2 jest znaczne rozszerzenie zakresu podmiotów objętych wymogami dotyczącymi cyberbezpieczeństwa. NIS 2 wprowadza nowy podział podmiotów objętych regulacją – na podmioty kluczowe oraz podmioty ważne.
Do podmiotów kluczowych wg NIS 2 należą firmy w następujących branżach:
-
- energetyka,
-
- transport,
-
- bankowość,
-
- infrastruktura rynków finansowych,
-
- opieka zdrowotna,
-
- sektor wody pitnej,
-
- ścieki,
-
- infrastruktura cyfrowa,
-
- zarządzanie usługami ICT,
-
- administracja publiczna,
-
- przestrzeń kosmiczna.
Natomiast podmioty ważne wg NIS 2 to:
-
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja, przetwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności,
- produkcja (w szerokim znaczeniu),
- usługi cyfrowe,
- badania naukowe.
Według szacunków, zmiany dotyczą kilku tysięcy firm w Polsce, które w ciągu najbliższych 12 miesięcy muszą dostosować się do rygorystycznych przepisów Dyrektywy.
Surowy nadzór i wysokie kary
Poza poszerzeniem listy podmiotów objętych regulacjami, Dyrektywa NIS 2 znacznie zaostrza środki nadzoru. W przypadku nieprzestrzegania przepisów NIS 2, grożą surowe konsekwencje, w tym wysokie kary finansowe. Podmioty kluczowe mogą być obciążone karą wynoszącą co najmniej 10 milionów euro lub 2% rocznego światowego obrotu przedsiębiorstwa, zależnie od tego, która kwota jest wyższa.
Choć kary finansowe to ważny element, nie są to jedyne sankcje, o których warto pamiętać. Dyrektywa NIS 2 wprowadza także szeroki zestaw narzędzi egzekwowania przepisów. NIS 2 kładzie duży nacisk na realną i skuteczną implementację przepisów. W praktyce oznacza to, że odpowiednie organy będą mogły przeprowadzać kontrole, audyty oraz analizy związane z bezpieczeństwem. Mogą także zażądać przedstawienia dowodów na realne wdrożenie opracowanych polityk związanych z cyberbezpieczeństwem.
Kluczowe obowiązki – jak przygotować firmę na NIS 2
Dyrektywa NIS 2 poszerza zakres obowiązków nałożonych na podmioty. Obowiązki te dotyczą następujących obszarów:
-
- analizy ryzyka i polityki bezpieczeństwa systemów informatycznych;
-
- obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty);
-
- ciągłości działania i zarządzania kryzysowego;
-
- bezpieczeństwa łańcucha dostaw;
-
- bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych(w tym obsługa i ujawniania podatności);
-
- procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;
-
- wykorzystywania kryptografii i szyfrowania
Aby wesprzeć firmy i instytucje w ich implementacji, Oxygen IT rozpoczyna cykl spotkań z ekspertami, podczas których będziemy analizować kolejne aspekty obowiązków nakładnych przez NIS 2.
Pierwszym obszarem, któremu chcemy się przyjrzeć jest ciągłość działania i zarządzanie kryzysowe. Wg. wymagań NIS 2 firma musi zapewnić sobie możliwość kontynuowania działalności w przypadku cyberataku. Oznacza to, że organizacje muszą posiadać sprawdzony Business Continuity Plan (BCP), czyli plan ciągłości działania, dzięki któremu będą mogły jak najszybciej powrócić do sprawnego funkcjonowania. Jednym z istotnych elementów BCP, na które kładzie nacisk Dyrektywa są kopie zapasowe danych, pozwalające na sprawne odtworzenie danych i systemów po awarii.
W czasie wydarzenia zaproszeni eksperci opowiedzą między innymi jak opracować wymagany Dyrektywą plan ciągłości działania, w jaki sposób zwiększyć skuteczność procesów zabezpieczania i odzyskiwania danych czy jakie rozwiązanie pozwoli odzyskać dane po awarii, tak aby wypełnić wymagania NIS 2.
Uczestników spotkania zapraszamy już 11 października do N31 restaurant&bar, gdzie w nieformalnej atmosferze będą mogli nie tylko wysłuchać wykładu, ale również wymienić się doświadczeniami czy omówić wątpliwości z ekspertami podczas sesji Q&A.
Zapraszamy! Wydarzenie jest darmowe, jednak liczba miejsc jest ograniczona.
