Dyrektywa NIS 2 – narzędzie do poprawy cyberbezpieczeństwa UE

Cyberbezpieczeństwo to temat, który nigdy nie traci na znaczeniu, zwłaszcza w dzisiejszym, coraz bardziej cyfrowym świecie. Jednym z kroków Unii Europejskiej na drodze do poprawy bezpieczeństwa cybernetycznego w Unii Europejskiej jest wprowadzenie Dyrektywy NIS 2, czyli Dyrektywy Parlamentu Europejskiego i Rady (UE)  2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.

Ta mająca na celu przygotowanie państw członkowskich do współdziałania i przygotowania odpowiedniego poziomu reakcji na możliwe incydenty dotyczące naruszeń cyberbezpieczeństwa, kontynuacja Dyrektywy NIS, ma być wdrożona do krajowych przepisów prawnych już w październiku przyszłego roku. Firmy i instytucje mają więc niewiele czasu na dostosowanie się do zawartych w niej wytycznych. 

 

 

Rewolucja NIS 2 dotyczy kilku tysięcy firm

 

Jedną z kluczowych zmian wprowadzonych przez Dyrektywę NIS 2 jest znaczne rozszerzenie zakresu podmiotów objętych wymogami dotyczącymi cyberbezpieczeństwa. NIS 2 wprowadza nowy podział podmiotów objętych regulacją – na podmioty kluczowe oraz podmioty ważne. 

 

 

Do podmiotów kluczowych wg NIS 2 należą firmy w następujących branżach: 

 

 

      • energetyka,

      • transport,

      • bankowość,

      • infrastruktura rynków finansowych,

      • opieka zdrowotna,

      • sektor wody pitnej,

      • ścieki,

      • infrastruktura cyfrowa,

      • zarządzanie usługami ICT,

      • administracja publiczna,

      • przestrzeń kosmiczna.

     

     

    Natomiast podmioty ważne wg NIS 2 to: 

     

     

        • usługi pocztowe i kurierskie,
        • gospodarowanie odpadami,
        • produkcja, przetwarzanie i dystrybucja chemikaliów,
        • produkcja, przetwarzanie i dystrybucja żywności,
        • produkcja (w szerokim znaczeniu),
        • usługi cyfrowe,
        • badania naukowe.

       

      Według szacunków,  zmiany dotyczą kilku tysięcy firm w Polsce, które w ciągu najbliższych 12 miesięcy muszą dostosować się do rygorystycznych przepisów Dyrektywy.

       

      Surowy nadzór i wysokie kary

       

      Poza poszerzeniem listy podmiotów objętych regulacjami, Dyrektywa NIS 2 znacznie zaostrza środki nadzoru. W przypadku nieprzestrzegania przepisów NIS 2, grożą surowe konsekwencje, w tym wysokie kary finansowe. Podmioty kluczowe mogą być obciążone karą wynoszącą co najmniej 10 milionów euro lub 2% rocznego światowego obrotu przedsiębiorstwa, zależnie od tego, która kwota jest wyższa.

      Choć kary finansowe to ważny element, nie są to jedyne sankcje, o których warto pamiętać. Dyrektywa NIS 2 wprowadza także szeroki zestaw narzędzi egzekwowania przepisów. NIS 2 kładzie duży nacisk na realną i skuteczną implementację przepisów.  W praktyce oznacza to, że odpowiednie organy będą mogły przeprowadzać kontrole, audyty oraz analizy związane z bezpieczeństwem. Mogą także zażądać przedstawienia dowodów na realne wdrożenie opracowanych polityk związanych z cyberbezpieczeństwem. 

       

      Kluczowe obowiązki – jak przygotować firmę na NIS 2

       

      Dyrektywa NIS 2 poszerza zakres obowiązków nałożonych na podmioty. Obowiązki te dotyczą następujących obszarów: 

       

          • analizy ryzyka i polityki bezpieczeństwa systemów informatycznych;

          • obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty);

          • ciągłości działania i zarządzania kryzysowego;

          • bezpieczeństwa łańcucha dostaw;

          • bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych(w tym obsługa i ujawniania podatności);

          • procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;

          • wykorzystywania kryptografii i szyfrowania

         

        Aby wesprzeć firmy i instytucje w ich implementacji, Oxygen IT rozpoczyna cykl spotkań z ekspertami, podczas których będziemy analizować kolejne aspekty obowiązków nakładnych przez NIS 2. 



        Pierwszym obszarem, któremu chcemy się przyjrzeć jest ciągłość działania i zarządzanie kryzysowe.  Wg. wymagań NIS 2 firma musi zapewnić sobie możliwość kontynuowania działalności w przypadku cyberataku. Oznacza to, że organizacje muszą posiadać sprawdzony Business Continuity Plan (BCP), czyli plan ciągłości działania, dzięki któremu będą mogły jak najszybciej powrócić do sprawnego funkcjonowania. Jednym z istotnych elementów BCP, na które kładzie nacisk Dyrektywa są  kopie  zapasowe danych, pozwalające na sprawne odtworzenie danych i systemów po awarii. 


        W czasie wydarzenia zaproszeni eksperci opowiedzą między innymi jak opracować wymagany Dyrektywą plan ciągłości działania, w jaki sposób zwiększyć skuteczność procesów zabezpieczania i odzyskiwania danych czy jakie rozwiązanie pozwoli odzyskać dane po awarii, tak aby wypełnić wymagania NIS 2. 

         

         

        Uczestników spotkania zapraszamy już 11 października do N31 restaurant&bar, gdzie w nieformalnej atmosferze będą mogli nie tylko wysłuchać wykładu, ale również wymienić się doświadczeniami czy omówić wątpliwości z ekspertami podczas sesji Q&A. 
        Zapraszamy! Wydarzenie jest darmowe, jednak liczba miejsc jest ograniczona. 

         

         

         

        Facebook
        LinkedIn
        Email
        Print

        Dodaj komentarz

        Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

        dziewiętnaście − siedem =