Kontakt
ua ro pl hu en

NIS2 dla specjalistów ds. bezpieczeństwa IT – co to jest i jak zabrać się za wdrożenie

NIS2 dla specjalistów ds. bezpieczeństwa IT – co to jest i jak zabrać się za wdrożenie

Dyrektywa NIS2 nakłada na firmy działające w państwach członkowskich Unii Europejskiej nowe obowiązki w zakresie cyberbezpieczeństwa. Przedsiębiorstwa, które obejmie ta nowelizacja prawa, będą musiały m.in. zapewnić ciągłość działania swoich systemów informatycznych, zgłaszać incydenty bezpieczeństwa oraz dbać o edukację cybernetyczną zatrudnianych osób.

Jako że kary za niedopełnienie nakładanych obowiązków mogą być znaczące, warto wnikliwie Zapoznać się z tym tematem. Następnie zaś – odpowiednio przygotować swoje organizacje na wprowadzane zmiany. Kogo dotyczy NIS2? Od kiedy obowiązuje i jak przygotować się na wdrożenie dyrektywy? Na te i inne pytania znajdziesz odpowiedź w poniższym artykule.

Co to jest NIS2?

Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2) to nowelizacja obowiązującego obecnie prawa dotyczącego ochrony danych przetwarzanych cyfrowo. Zastępuje ona poprzednią dyrektywę z 2016 roku – NIS (Network and Information Security) – rozszerzając jej zakres i wprowadzając bardziej rygorystyczne wymogi.

Wzmocnienie cyberodporności Unii Europejskiej ma zostać osiągnięte m.in. poprzez wdrożenie w krajach członkowskich jednolitego standardu bezpieczeństwa sieci oraz systemów informatycznych. Nowe prawo ma na celu zwiększenie odporności organizacji na cyberataki, a tym samym zmniejszenie ryzyka zakłóceń w funkcjonowaniu kluczowych usług i infrastruktury państw należących do UE. 

Dyrektywa określa cele związane z cyberbezpieczeństwem oraz obowiązki, jakie w tym kontekście zostają nałożone na organizacje podlegające NIS2. Nie zawiera jednak szczegółowych wytycznych na temat sposobów i rozwiązań, za pośrednictwem których firmy mają zapewnić bezpieczeństwo przetwarzanym danym. Daje im w tym zakresie pewną swobodę działania. Warto jednak pamiętać o tym, że środki podejmowane przez poszczególne podmioty muszą być proporcjonalne do zidentyfikowanych zagrożeń.

Bezpieczeństwo w NIS2

NIS2 – najważniejsze zmiany w pigułce

Jeśli chodzi o najważniejsze ogólne zmiany, jakie wprowadza NIS2 w stosunku do swojej poprzedniczki z 2016 roku, to przedstawiają się one następująco:

  • Nowe prawo obejmuje o wiele więcej organizacji niż dotychczasowe. Wcześniej pod dyrektywę podlegało 11 sektorów. NIS2 zwiększa tę liczbę do 18 oraz obniża progi kwalifikacyjne dla firm, które w nich działają. 
  • Przedsiębiorstwa mają za zadanie zapewnić cyberbezpieczeństwo w całym łańcuchu dostaw, a zarządzanie cyberryzykiem staje się dla nich obowiązkowe. 
  • Pracownicy firm powinni zostać przeszkoleni z zakresu zagrożeń, jakie czyhają na nich w cyfrowym świecie. 
  • Zarządy oraz menedżerowie wyższego szczebla będą teraz ponosić osobistą odpowiedzialność za szkody, jakie zostaną spowodowane niedopełnieniem wymagań dotyczących zarządzania cyberbezpieczeństwem.
  • Firmy mają obowiązek raportować do odpowiednich organów krajowych incydenty naruszenia bezpieczeństwa w swoich organizacjach.
  • Państwa członkowskie mają obowiązek wyznaczyć krajowy zespół reagowania na incydenty bezpieczeństwa komputerowego (CSIRT, Computer Security Incident Response Team). Krajowe jednostki będą ze sobą ściśle współpracować na terenie całej wspólnoty. 

Co mają na celu zmiany legislacyjne?

Zmiany wprowadzane przez NIS2 są odpowiedzią na rozszerzony wachlarz zagrożeń cyfrowych, jakie pojawiły się w Europie w ostatnich latach. Cyberataki są coraz częstsze i coraz bardziej zaawansowane. NIS2 ma lepiej przygotować organizacje i społeczeństwo do radzenia sobie z rosnącymi zagrożeniami cybernetycznymi. I jednocześnie zapewnić ciągłość działania infrastruktury oraz usług, które są kluczowe dla prawidłowego funkcjonowania państwa.

Ujednolicenie przepisów w całej UE ma też ułatwić współpracę między krajami członkowskimi i zwiększyć skuteczność działań w kontekście ochrony danych. Ma to umożliwić szybszą i skuteczniejszą reakcję na incydenty, wymianę informacji o zagrożeniach oraz koordynację działań na poziomie europejskim.

Dyrektywa NIS2 – kogo dotyczy?

Do nowej dyrektywy mają obowiązek stosować się wszystkie organizacje (zarówno prywatne jak i publiczne), które prowadzą swoją działalność na terenie Unii Europejskiej i dostarczają na rynek usługi podstawowe. 

Dyrektywa NIS2 wprowadza rozróżnienie na dwie kategorie podmiotów – kluczowe i ważne. Są to duże i średnie organizacje działające w sektorach o fundamentalnym znaczeniu dla funkcjonowania społeczeństwa i gospodarki (wymienione poniżej). Przy czym o przynależności do danej grupy decyduje wielkość przedsiębiorstwa. 

Dyrektywie podlegają więc osoby fizyczne, prawne lub jednostki organizacyjne nieposiadające osobowości prawnej, które zostały zakwalifikowane jako duże lub średnie przedsiębiorstwa. Inaczej mówiąc to organizacje, które przewyższają (podmioty kluczowe) lub spełniają (podmioty ważne) łącznie następujące warunki:

  • zatrudniają pomiędzy 50 a 250 osób,
  • posiadają roczne obroty w wysokości od 10 do 50 milionów euro oraz całkowity bilans roczny wynoszący między 10 a 43 miliony euro.

Warto mieć na uwadze, że dana firma może podlegać dyrektywnie NIS2 niezależnie od wielkości, jeśli odgrywa ważną rolę w jednym z kluczowych sektorów dla działania państwa.

Sektory kluczowe NIS2

Do tej grupy należą podmioty działające w sektorach o fundamentalnym znaczeniu dla prawidłowego funkcjonowania kraju, czyli:

  • Energia – wytwarzanie, przesył i dystrybucja energii elektrycznej, gazu ziemnego, ropy naftowej, energii cieplnej i wodoru.
  • Transport – transport lotniczy, kolejowy, wodny i drogowy, operatorzy infrastruktury transportowej.
  • Bankowość – instytucje kredytowe i inwestycyjne.
  • Infrastruktura rynku finansowego – giełdy papierów wartościowych, centralne depozyty papierów wartościowych, izby rozliczeniowe, systemy płatności i rozrachunku.
  • Zdrowie – szpitale, dostawcy usług medycznych, producenci i dystrybutorzy wyrobów medycznych, laboratoria.
  • Woda pitna – zaopatrzenie w wodę pitną.
  • Infrastruktura cyfrowa – dostawcy usług cyfrowych (np. usługi chmurowe, wyszukiwarki internetowe, platformy handlu elektronicznego), dostawcy publicznych sieci łączności elektronicznej, usługi rejestru nazw domen (DNS), dostawcy usług zaufania (np. podpis elektroniczny, pieczęć elektroniczna).
  • Administracja publiczna – administracja centralna i regionalna.
  • Sektor kosmiczny – operatorzy systemów satelitarnych, dostawcy usług startowych, producenci sprzętu kosmicznego.
  • Produkcja, przetwarzanie i dystrybucja żywności – producenci żywności, przetwórcy żywności, dystrybutorzy żywności.
  • Usługi pocztowe – operatorzy pocztowi świadczący usługi powszechne.
  • Zarządzanie odpadami – podmioty zajmujące się zbieraniem, transportem, odzyskiem i unieszkodliwianiem odpadów.

Sektory ważne NIS2

To sektory, które również mają istotne znaczenie dla społeczeństwa i gospodarki, choć zakłócenie ich działania miałoby mniej dotkliwe skutki niż w przypadku podmiotów kluczowych. Do tej grupy należą:

  • Poczta i kurierzy – podmioty świadczące usługi pocztowe inne niż usługi powszechne oraz usługi kurierskie.
  • Produkcja niektórych krytycznych produktów – produkcja substancji chemicznych, wyrobów medycznych, sprzętu komputerowego, elektronicznego i optycznego, maszyn i urządzeń, pojazdów silnikowych, przyczep i naczep, pozostałego sprzętu transportowego.
  • Usługi cyfrowe – dostawcy usług cyfrowych (np. platformy mediów społecznościowych, platformy udostępniania wideo, platformy wymiany informacji), dostawcy usług zarządzania centrami danych, dostawcy usług internetowych, dostawcy publicznych sieci łączności elektronicznej, usługi rejestru nazw domen (DNS), dostawcy usług zaufania (np. podpis elektroniczny, pieczęć elektroniczna).
  • Badania i rozwój – podmioty prowadzące badania i rozwój w dziedzinach o kluczowym znaczeniu dla bezpieczeństwa narodowego lub gospodarczego.

Czy Twoja firma podlega pod NIS2?

Nowe prawo nakłada na firmy obowiązek samoidentyfikacji, co oznacza, że przedsiębiorstwa muszą samodzielnie ocenić, czy są objęte regulacjami wynikającymi z NIS2. 

Aby pomóc Ci w tej ocenie, przygotowaliśmy krótką ankietę, uwzględniającą najważniejsze elementy klasyfikacji:

Sprawdź, czy Twoja firma podlega NIS2

Odpowiedz na 3 pytania i poznaj odpowiedź

Przejdź do formularza

NIS2 – wymagania związane z cyberbezpieczeństwem

Firmy objęte NIS2 są zobowiązane do wdrożenia szeregu działań „technicznych, operacyjnych i organizacyjnych”, związanych z cyberbezpieczeństwem i zgłaszaniem incydentów. 

Działania mają być odpowiednie i proporcjonalne

Warto przy tym podkreślić, że środki te mają być „odpowiednie i proporcjonalne”. Oznacza to, że będą się one różnić w przypadku konkretnych przedsiębiorstw, a organizacje same muszą ocenić, jaki poziom ochrony będzie odpowiedni w kontekście występującego ryzyka cybernetycznego. 

Jak możemy przeczytać w samej dyrektywie: „Oceniając proporcjonalność tych środków, należycie uwzględnia się stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.”

NIS2 – obowiązkowe elementy cyberochrony

Nowe przepisy jasno określają zakres minimalnych działań, jakie mają podjąć przedsiębiorstwa, aby zapewnić sobie zgodność z NIS2. Należą do nich:

  • opracowanie polityki analizy ryzyka i bezpieczeństwa systemów informatycznych; 
  • obsługa incydentu; 
  • zapewnienie ciągłości działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; 
  • dbałość o bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami; 
  • zapewnienie bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie; 
  • opracowanie polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie; 
  • zachowanie podstawowych praktyki cyberhigieny i przeprowadzanie szkoleń w zakresie cyberbezpieczeństwa; 
  • opracowanie polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania; 
  • zapewnienie bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami; 
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

NIS2 – od kiedy w Polsce?

Dyrektywa zostanie przetransponowana do polskiego prawa najpóźniej 17 października 2024 roku. Przedsiębiorstwa muszą samodzielnie ocenić, czy nowe regulacje ich dotyczą. Jeśli tak, powinny zgłosić ten fakt do krajowego rejestru podmiotów podlegających dyrektywie. Firmy świadczące usługi cyfrowe mają na to czas do 17 stycznia 2025 roku, zaś pozostałe do 17 kwietnia 2025 roku. 

Co grozi za brak zgodności z NIS2?

W zależności od klasyfikacji danej firmy, za niedopełnienie obowiązków nałożonych przez NIS2, przedsiębiorstwom grożą kary administracyjne w wysokości 10 mln euro lub 2% łącznego rocznego obrotu (w przypadku podmiotów kluczowych) oraz 7 mln euro lub 1,4% łącznego rocznego obrotu (w przypadku podmiotów ważnych). 

Co ważne, oprócz kar finansowych, na firmy mogą zostać nałożone również inne sankcje, takie jak na przykład:

  • nakaz podjęcia określonych działań w celu usunięcia naruszenia i zapewnienia zgodności z dyrektywą,
  • wydanie wiążących instrukcji dotyczących sposobu wdrożenia określonych środków bezpieczeństwa,
  • zlecenia wykonania audytu bezpieczeństwa,
  • zlecenia powiadamiania klientów o zagrożeniach w przypadku naruszenia ich danych osobowych,
  • czasowe zawieszenie działalności podmiotu,
  • zakaz udziału w przetargach publicznych.

Nakładane kary mają być zależne od tego, jak poważne będą skutki naruszenia, a ich wysokość ma być dostosowana do wielkości i możliwości finansowych podmiotu. Tak, aby sankcje były skuteczne, ale nie rujnujące.

NIS2 – od czego zacząć i na co zwrócić uwagę

Od czego zacząć przygotowanie organizacji do wypełnienia obowiązków wynikających z nowego prawa? 

Najlepiej od określenia stanu wyjściowego. W tym celu przeanalizuj, z jakich systemów informatycznych korzystacie w firmie, a następnie określ ich znaczenie dla ciągłości działania biznesu. Wyłap też słabe punkty i potencjalne zagrożenia, na jakie są one narażone. 

Na tej podstawie będziesz w stanie określić, czy konieczne jest wprowadzenie dodatkowych środków ochrony oraz ewentualna modyfikacja obowiązujących w firmie procedur w zakresie bezpieczeństwa. 

NIS2 - od czego zacząć

Opracowując nowe prawo, decydenci zwrócili szczególną uwagę na to, że bezpieczeństwo systemów informatycznych może być zapewnione jedynie wtedy, kiedy poszczególne procesy będą na bieżąco monitorowane. Nie wystarczy więc raz skonfigurować systemów. Należy nieprzerwanie analizować ich działanie, wykrywać ewentualne zagrożenia i optymalizować ustawienia, zwiększając w ten sposób ich skuteczność w zachowaniu bezpieczeństwa. 

Kolejnym ważnym krokiem jest przygotowanie procedur na wypadek wystąpienia incydentów bezpieczeństwa, a co za tym idzie – zagrożenia ciągłości działania systemów i całej organizacji. Oczywiście takie zdarzenia mogą być mniej lub bardziej znaczące, i nieść za sobą różny poziom ryzyka. Podejmowane działania zawsze powinny być więc adekwatne do powstałego zagrożenia. Pamiętaj, że zmiany wprowadzane przez NIS2 nakładają na organizacje obowiązek raportowania incydentów do odpowiednich organów krajowych. Każdorazowo warto więc weryfikować, czy incydent kwalifikuje się do takiego zgłoszenia.

Specjaliści FOTC pomogą Ci osiągnąć zgodność z NIS2

Jeśli Twoją firmę dotyczy NIS2, ale temat ten wydaje Ci się zbyt skomplikowany i nie wiesz, od czego zacząć wprowadzanie zmian, skontaktuj się z naszymi specjalistami. Inżynierowie FOTC pomogą Ci przenieść infrastrukturę do chmury Google. Zapewniona jest tu ciągłość działania systemów, a wyśrubowane standardy bezpieczeństwa w pełni zaspokajają wymogi nakładane przez NIS2. 

Nasze usługi, które pomogą Ci osiągnąć zgodność z NIS2 to m.in.:

  • Migracja firmy do Google Workspace – Usługa spełnia wszelkie wymogi bezpieczeństwa potrzebne w przedsiębiorstwach, których dotyczą szczególne obostrzenia w zakresie ochrony przetwarzanych informacji. Dane są szyfrowane zarówno w spoczynku jak i podczas ich przesyłania. Zaś ciągłość działania systemów jest zapewniona przez SLA na poziomie 99,9999%.
  • Monitoring bezpieczeństwa Google Workspace – to usługa, dzięki której jesteś na bieżąco informowany o wszelkich poważnych zagrożeniach, jakie wystąpiły w instancji Google Workspace w Twojej firmie. Specjaliści FOTC monitorują bezpieczeństwo usługi w trybie 24/7, zaś odpowiednio skonfigurowane alerty umożliwiają natychmiastowe działania zapobiegawcze. Nasi inżynierowie opracowali też ścisłe procedury postępowania na wypadek wystąpienia incydentów bezpieczeństwa.
  • Szkolenia dla użytkowników i administratorów – swoim szerokim doświadczeniem w zakresie zabezpieczenia chmurowej infrastruktury klientów dzielimy się, prowadząc szkolenia dla administratorów i użytkowników Google Workspace.
  • Audyt bezpieczeństwa Google Workspace – przeprowadzany przez inżynierów FOTC audyt pozwala określić wyjściowy poziom ustawień Twojej instancji Google Workspace. Konfigurację oceniamy pod kątem zabezpieczenia danych przed wyciekami, cyberatakami oraz nieuczciwymi działaniami pracowników. Weryfikacja obejmuje szczegółową analizę nawet 237 punktów ryzyka w ramach jedenastu kluczowych obszarów.
Zadbaj o zgodność z NIS2

Pokażemy Ci, jak w prosty sposób
wypełnić zobowiązania regulacyjne

Umów konsultację
Co to jest NIS2?
Dyrektywa NIS2 – kogo dotyczy?
NIS2 – wymagania związane z cyberbezpieczeństwem
NIS2 – od kiedy w Polsce?
Co grozi za brak zgodności z NIS2?
NIS2 – od czego zacząć i na co zwrócić uwagę
Specjaliści FOTC pomogą Ci osiągnąć zgodność z NIS2

Monika Zając zajmuje się content marketingiem od ponad 10 lat. W swojej karierze tworzyła treści dla takich marek jak Santander Bank, Żabka, ISOVER, Meble FORTE czy Raben. W FOTC pełni rolę Content Managera.