NIS 2 – wymagania i kogo dotyczy?

Co to jest NIS 2?

Intencją tzw. dyrektywy NIS (Network and Information Security) jest wzmocnienia cyberbezpieczeństwa w Unii Europejskiej. Pełna nazwa to „Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii” (aktualnie mowa o Dyrektywie NIS2*). NIS 2 jest to rewizja Dyrektywy NIS, która:

– rozszerza zakres pierwszej Dyrektywy NIS,

– zaostrza wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw,

– wprowadza bardziej rygorystyczne środki nadzoru dla organów krajowych i surowsze wymogi w zakresie egzekwowania przepisów

– poprawia wymianę informacji i współpracę między organami państw członkowskich.

Od kiedy obowiązuje NIS2 w Polsce? Od 18 października 2024 roku.

 

Od daty wejścia w życie Dyrektywy, czyli 16 stycznia 2023 r., Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. Nowe przepisy – NIS 2 – powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.

Kogo dotyczy NIS 2?

 

PODMIOTY KLUCZOWE (essential entities)

SEKTOR

NIS

NIS 2

(Rozszerzenie zakresu)

Energetyka (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór) TAK
Transport (powietrzny, wodny, kolejowy, lądowy) TAK
Bankowość TAK
Infrastruktura rynków finansowych TAK
Zdrowie TAK
Woda pitna TAK
Ścieki TAK
Infrastruktura cyfrowa TAK
Administracja publiczna TAK
Przestrzeń kosmiczna TAK

 

PODMIOTY WAŻNE (important entities) – nowe sektory:

  • Usługi pocztowe i kurierskie,
  • Gospodarowanie odpadami,
  • Produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy)
  • Produkcja i dystrybucja chemikaliów,
  • Produkcja, przetwarzanie i dystrybucja żywności,
  • Dostawcy cyfrowi (dotychczas tylko dostawcy cyfrowi byli objęcie Dyrektywą NIS).

Najważniejsze obowiązki podmiotów ważnych i kluczowych w NIS 2:

Zapewnienie:

– analizy ryzyka i polityki bezpieczeństwa systemów informatycznych,

– obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty),

– ciągłości działania i zarządzania kryzysowego,

– bezpieczeństwa łańcucha dostaw,

– bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych (w tym obsługa i ujawnianie podatności),

– procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,

– efektywnego wykorzystywania kryptografii.

 

*Dyrektywa NIS2 DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

Pełny tekst dyrektywy NIS2: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32022L2555#d1e1532-80-1

Po co jest NIS 2?

Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń w społeczeństwie, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu cyberzagrożeń, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych.

W rezultacie incydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne szkody dla gospodarki i społeczeństwa Unii. Dlatego gotowość i skuteczność w obszarze cyberbezpieczeństwa stają się coraz ważniejsze dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej. Ponadto w wielu sektorach krytycznych cyberbezpieczeństwo należy do kluczowych czynników umożliwiających udany przebieg transformacji cyfrowej i pełne wykorzystanie ekonomicznych i społecznych korzyści wynikających z cyfryzacji.” (Punkt 3 Dyrektywy NIS 2).

 

Jakie najważniejsze obowiązki wskazuje dyrektywa NIS 2 dla podmiotów ważnych jako konieczne do implementacji w krajowych porządkach prawnych?

Dyrektywa NIS 2 (Network and Information Security) stanowi kluczowy element europejskiej strategii cyberbezpieczeństwa, mając na celu wzmocnienie odporności infrastruktury cyfrowej w całej Unii Europejskiej.

 

Dla przedsiębiorców i podmiotów kluczowych oraz ważnych, dyrektywa ta wprowadza szereg obowiązków, które muszą zostać implementowane w krajowych systemach prawnych państw członkowskich.

Najważniejsze obowiązki, które mają kluczowe znaczenie w NIS 2

 

Dyrektywa NIS 2 nakłada na podmioty obowiązek wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z bezpieczeństwem sieci i systemów informatycznych. Środki te mają na celu zapobieganie incydentom, minimalizowanie ich wpływu oraz zapewnienie ciągłości działania.

  • Zarządzanie ryzykiem w cyberbezpieczeństwie

Podmioty kluczowe i ważne muszą dokonywać regularnych ocen ryzyka, identyfikować potencjalne zagrożenia i luki w swoich systemach, a następnie wdrażać odpowiednie środki zabezpieczające. W praktyce oznacza to konieczność stosowania zaawansowanych technologii zabezpieczających, takich jak firewalle, systemy wykrywania włamań (IDS), a także oprogramowanie do zarządzania tożsamością i dostępem (IAM). Ponadto, organizacje powinny wdrażać polityki i procedury bezpieczeństwa, które określają, jak postępować w przypadku wykrycia zagrożeń.

  • Ciągłość działania

Istotne  znaczenie ma również zapewnienie ciągłości działania. Podmioty muszą być przygotowane na różne scenariusze, które mogą zakłócić ich funkcjonowanie, takie jak ataki DDoS (Distributed Denial of Service), złośliwe oprogramowanie czy próby włamań. W ramach zarządzania ryzykiem powinny opracować plany awaryjne i plany ciągłości działania, które będą regularnie testowane i aktualizowane.

  • Zgłaszanie Incydentów

Podmioty kluczowe i ważne muszą zgłaszać poważne incydenty związane z cyberbezpieczeństwem odpowiednim organom krajowym. Procedura zgłaszania incydentów musi być przejrzysta i zgodna z wytycznymi Komisji Europejskiej. Incydenty te powinny być zgłaszane niezwłocznie, aby umożliwić szybkie reakcje i zapobieganie dalszym zagrożeniom.

Ile jest czasu na zgłoszenie incydentu?

(Incydenty i zgłaszanie) Artykuł 23 Dyrektywy NIS 2

„3. Incydent uznaje się za poważny, jeżeli:

a) spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;

b) wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

4. Państwa członkowskie zapewniają, aby do celów zgłoszenia na podstawie ust. 1 dane podmioty przedkładały CSIRT lub, jeżeli ma to zastosowanie, właściwemu organowi:

a) bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny;

b) bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – zgłoszenie incydentu, w stosownych przypadkach z aktualizacją informacji, o których mowa w lit. a), i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu;”

Zgłaszanie incydentów obejmuje nie tylko informowanie właściwych organów o zaistniałym zdarzeniu, ale również dostarczanie szczegółowych informacji na temat charakteru incydentu, jego potencjalnych konsekwencji oraz podjętych działań naprawczych. Dzięki temu organy odpowiedzialne za cyberbezpieczeństwo mogą skuteczniej monitorować i reagować na zagrożenia, a także koordynować działania między różnymi podmiotami.

Podmioty muszą również prowadzić wewnętrzną dokumentację incydentów, która będzie zawierać szczegółowe raporty na temat każdego zdarzenia. Dokumentacja ta jest niezbędna do analizy przyczyn incydentów oraz oceny skuteczności podjętych działań naprawczych. Regularne przeglądy i analizy zgłaszanych incydentów pozwalają na ciągłe doskonalenie procedur bezpieczeństwa.

  • Wymiana informacji

Dyrektywa NIS 2 promuje współpracę i wymianę informacji między podmiotami, a także z odpowiednimi organami krajowymi i unijnymi. Ma to na celu zwiększenie świadomości na temat zagrożeń cybernetycznych oraz efektywne zarządzanie ryzykiem.

Wymiana informacji obejmuje zarówno dane o aktualnych zagrożeniach, jak i najlepsze praktyki w zakresie cyberbezpieczeństwa. Podmioty są zobowiązane do uczestniczenia w krajowych i międzynarodowych inicjatywach związanych z cyberbezpieczeństwem, takich jak fora i grupy robocze, gdzie mogą dzielić się doświadczeniami i zdobywać wiedzę na temat nowych zagrożeń i sposobów ich neutralizacji.

Ważnym elementem współpracy jest również udział w programach i ćwiczeniach symulacyjnych, które pozwalają na przetestowanie i poprawienie skuteczności procedur reagowania na incydenty. Współpraca z innymi podmiotami oraz organami krajowymi i unijnymi jest kluczowa dla budowania zaufania i skutecznej ochrony przed zagrożeniami cybernetycznymi.

  • Szkolenia i Edukacja

Podmioty muszą zapewnić regularne szkolenia dla swoich pracowników oraz członków organów zarządzających w zakresie zarządzania ryzykiem cyberbezpieczeństwa. Celem tych szkoleń jest podniesienie poziomu wiedzy i umiejętności w identyfikacji, ocenie i zarządzaniu ryzykiem.

Szkolenia powinny obejmować szeroki zakres tematów, w tym podstawowe zasady cyberbezpieczeństwa, techniki ochrony danych, zarządzanie tożsamością i dostępem, a także specyficzne procedury reagowania na incydenty. Regularne sesje szkoleniowe pozwalają pracownikom na bieżąco aktualizować swoją wiedzę i dostosowywać się do zmieniających się zagrożeń.

Ważne jest również, aby szkolenia były dostosowane do różnych ról i poziomów odpowiedzialności w organizacji. Pracownicy techniczni potrzebują bardziej zaawansowanych szkoleń technicznych, podczas gdy kadra zarządzająca powinna koncentrować się na strategicznych aspektach zarządzania ryzykiem i decyzjach dotyczących polityki bezpieczeństwa.

Podmioty muszą również promować kulturę bezpieczeństwa w całej organizacji, zachęcając pracowników do aktywnego udziału w programach szkoleniowych i przestrzegania najlepszych praktyk w zakresie cyberbezpieczeństwa. Edukacja i świadomość są kluczowymi elementami w tworzeniu skutecznej ochrony przed zagrożeniami cybernetycznymi.

O czym zapominają często firmy? Uwzględnienie public relations podczas incydentu lub cyberataku

 

Zarządzanie ciągłością działania oraz obsługa incydentu wymaga również profesjonalnego zarządzania relacjami z mediami i otoczeniem firmy. To zapewnia zabezpieczenie interesów firmy w zakresie ochrony wizerunku i zaufania. Obsługa incydentów oraz monitorowanie cyberzagrożeń wymaga współpracy SOC, zarządu firmy, działu IT, prawników  z ekspertem public relations. Potrzebujesz takiej pomocy? Zadzwoń do nas: 603 120 000.

 

Na co jest narażona podczas cyberataku?

Możliwe straty obejmują zagrożenia:

Zarządzanie reputacją jest skorelowane z wartością firmy i jej miejscem w branży. Reputacja jest istotna i składa się na to kilka powodów:

  • Gdy reputacja jest dobra, pomaga osiągnąć cele, utrzymywać konkurencyjność i perspektywy na przyszłość
  • Jest źródłem wyróżniania się na rynku
  • Lepsza reputacja oceniania jest przez inwestorów jako inwestycje mniejszego ryzyka
  • Jest związana z zaufaniem do firmy i jej wiarygodnością.

 

 

Obowiązki nałożone przez dyrektywę NIS 2 na podmioty kluczowe i ważne są kompleksowe i wymagają zaangażowania na wielu poziomach organizacyjnych. Zarządzanie ryzykiem, zgłaszanie incydentów, wymiana informacji oraz szkolenia i edukacja są fundamentami skutecznego systemu cyberbezpieczeństwa. Przedsiębiorcy muszą podjąć odpowiednie kroki, aby spełnić te wymagania i przyczynić się do budowania bezpiecznego środowiska cyfrowego. Dostosowanie się do dyrektywy NIS 2 jest krokiem w stronę bezpieczniejszej przyszłości cyfrowej, a przedsiębiorcy, którzy podejdą do tego zadania z zaangażowaniem i odpowiedzialnością, mogą zyskać przewagę konkurencyjną na rynku.

NIS 2 a polskie prawodawstwo. Sprawdź najważniejsze powiązania (link)

Na co firma musi zwracać uwagę? Między innymi na:

  • Dynamiczną analizę ryzyka
  • Polityki bezpieczeństwa systemów teleinformatycznych (Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO 27001)
  • Proces zarządzania incydentami
  • Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu
  • Plan ciągłości działania i zarządzania kryzysowego
  • Bezpieczeństwo łańcucha dostaw
  • System Zarządzania Ciągłością Działania — Business Continuity Plan (BCP)
  • Szkolenia z cyberbezpieczeństwa

 

Zobacz także: ISO 27001

 

Czym jest System Zarządzania ISO 27001

 

PN-EN ISO/IEC 27001

„Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania

Norma PN-EN ISO/IEC 27001 przedstawia model systemu zarządzania bezpieczeństwem informacji, a także określa wymagania dla ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu.

Informacje będące cennym zasobem każdej firmy posiadają wymierną wartość i nieustannie narażone są na wiele zagrożeń. Dlatego też zapewnienie bezpieczeństwa posiadanych informacji powinno być priorytetem w zarządzaniu organizacją.

Zarządzanie bezpieczeństwem informacji związane jest nie tylko z ochroną systemów informatycznych. Służy także zapewnieniu bezpieczeństwa danych osobowych, informacji handlowych oraz innych informacji stanowiących tajemnicę przedsiębiorstwa.

Ochrona przed utratą informacji to także prawny obowiązek wszystkich podmiotów prowadzących działalność gospodarczą, za nieprzestrzeganie którego grożą poważne sankcje karne.

Wraz z przystąpieniem do Unii Europejskiej pojawiło się wiele aktów prawnych, wśród których szczególne znaczenie ma ustawa o ochronie danych osobowych. Do jej wymagań należy dostosować systemy informatyczne oraz procedury postępowania stosowane w organizacji. Należy także podjąć wszelkie działania zapewniające maksymalną ochronę przetwarzanych informacji.

Wdrożenie systemu zarządzania bezpieczeństwem informacji podnosi świadomość pracowników, pomaga w zarządzaniu ryzykiem a także w ustanowieniu celów i zasad bezpieczeństwa informacji.” Czytaj więcej:

https://www.pcbc.gov.pl/pl/uslugi/certyfikacja-systemow-zarzadzania/pluslugicertyfikacja-systemow-zarzadzaniapn-iso-iec-27001

 

Materiał opracowany na podstawie: NASK, Dyrektywy NIS 2 i zamieszczonych odnośników.

Autor: Łukasz Zając, czerwiec 2024. Kontakt: tel. 603 120 000

Sprawdź również Artykuły powiązane
6 minut

Szkolenie medialne i public relations: Klucz do skutecznej komunikacji

Szkolenie medialne i public relations – korzyści W dynamicznie zmieniającym się świecie mediów i komunikacji, umiejętność skutecznego porozumiewania się z otoczeniem jest nieodzowna. Szkolenia medialne i public relations (PR) stają się coraz bardziej popularne, pomagając profesjonalistom w doskonaleniu swoich umiejętności komunikacyjnych. W niniejszym artykule przyjrzymy się, czym są szkolenia medialne, jakie korzyści mogą przynieść i dlaczego warto zainwestować w rozwój kompetencji PR. Czym jest szkolenie […]

facebook-icon