Strona głównaStrona głównaseparatorBlogseparatorNIS2 - o co chodzi w nowej dyrektywie i czego ona dotyczy?

NIS2 - o co chodzi w nowej dyrektywie i czego ona dotyczy?

Jak często wykonywać kopie zapasowe danych w firmie?Bezpieczeństwo cyfrowe przestało być dodatkiem do działalności biznesowej. Stało się jej fundamentem. Wraz z rosnącą liczbą cyberataków Unia Europejska zdecydowała się rozszerzyć wcześniejsze przepisy i wprowadziła dyrektywę NIS2. Nowe regulacje obejmują więcej sektorów, nakładają dodatkowe obowiązki i przewidują surowsze kary za brak dostosowania się do wymagań.

Spis treści:

  1. Czym jest dyrektywa NIS2?
  2. Dlaczego dyrektywa powstała i co zmienia w stosunku do NIS1?
  3. Kogo obejmują nowe przepisy?
  4. Jakie obowiązki nakłada dyrektywa?
  5. Jakie sankcje przewidziano za brak dostosowania?
  6. Co zrobić, aby przygotować firmę do NIS2?
  7. Podsumowanie

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to unijne przepisy dotyczące cyberbezpieczeństwa, które weszły w życie 16 stycznia 2023 roku. Zastąpiły wcześniejszą dyrektywę NIS z 2016 roku. Państwa członkowskie miały czas do 17 października 2024 roku, aby wdrożyć je do krajowych porządków prawnych.

Nowa regulacja rozszerza zakres podmiotów zobowiązanych do wdrożenia środków bezpieczeństwa i nakłada na nie obowiązek systematycznego zarządzania ryzykiem oraz raportowania incydentów.

Dlaczego dyrektywa powstała i co zmienia w stosunku do NIS1

Pierwsza wersja dyrektywy obejmowała wybrane sektory, takie jak energetyka, transport czy ochrona zdrowia. W obliczu coraz bardziej złożonych ataków cybernetycznych konieczne było poszerzenie przepisów.

Najważniejsze zmiany to:

  • zwiększenie liczby sektorów objętych regulacją z 7 do 18,
  • rezygnacja z podziału na operatorów usług podstawowych i dostawców usług cyfrowych, wprowadzono kategorie „podmiotów kluczowych” i „podmiotów ważnych”,
  • rozszerzenie obowiązków w zakresie zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw i reagowania na incydenty,
  • ujednolicenie zasad raportowania cyberincydentów na terenie całej UE.

Kogo obejmują nowe przepisy?

Dyrektywa dotyczy średnich i dużych przedsiębiorstw działających w wybranych sektorach. Podstawowe kryteria to zatrudnienie powyżej 50 osób i roczny obrót przekraczający 10 mln euro.

Przepisy obejmują m.in.:

  • energetykę i transport,
  • sektor finansowy i bankowy,
  • opiekę zdrowotną,
  • administrację publiczną,
  • gospodarkę wodno-kanalizacyjną,
  • usługi pocztowe i kurierskie,
  • produkcję żywności i chemikaliów,
  • dostawców usług cyfrowych i telekomunikacyjnych.

W wyjątkowych przypadkach także mniejsze firmy mogą zostać objęte regulacją, jeśli uznane zostaną za istotne dla bezpieczeństwa lub gospodarki.

Jakie obowiązki nakłada dyrektywa?

Organizacje muszą wdrożyć środki techniczne, organizacyjne i proceduralne, które podniosą poziom ochrony przed cyberatakami. Do głównych wymogów należą:

  • regularne analizy i oceny ryzyka,
  • wdrożenie polityk bezpieczeństwa systemów i danych,
  • ochrona łańcuchów dostaw,
  • tworzenie planów ciągłości działania i zarządzania kryzysowego,
  • stosowanie mechanizmów uwierzytelniania wieloskładnikowego,
  • raportowanie incydentów w określonych ramach czasowych (24 godziny na zgłoszenie wstępne, 72 godziny na pełne zgłoszenie).

Jakie sankcje przewidziano za brak dostosowania?

Dyrektywa przewiduje kary finansowe dla podmiotów, które nie spełnią wymagań.

Podmioty kluczowe: do 10 mln euro lub do 2% rocznego obrotu.

Podmioty ważne: do 7 mln euro lub do 1,4% rocznego obrotu.

Wprowadzono także możliwość nakładania okresowych kar pieniężnych i odpowiedzialność zarządów za brak zgodności.

Co zrobić, aby przygotować firmę do NIS2

Pierwszym krokiem powinien być audyt IT i ocena poziomu obecnego zabezpieczenia systemów. Na tej podstawie można wskazać obszary wymagające wzmocnienia. Następnie należy przygotować polityki bezpieczeństwa, procedury reagowania na incydenty i plany ciągłości działania.

Równolegle warto przeszkolić pracowników w zakresie cyberhigieny i monitorować dostawców, aby mieć pewność, że również spełniają wymogi.

Podsumowanie

NIS2 to krok w stronę ujednolicenia i podniesienia standardów cyberbezpieczeństwa w całej Unii Europejskiej. Dla wielu firm oznacza konieczność wdrożenia nowych procesów, inwestycji w technologie oraz szkoleń pracowników.

Jeśli chcesz sprawdzić, czy Twoja organizacja podlega NIS2 i jak przygotować się do spełnienia wymagań, skontaktuj się z zespołem KNT. Przeprowadzimy audyt, zaproponujemy odpowiednie rozwiązania i pomożemy w ich wdrożeniu. Dzięki temu Twoja firma zyska nie tylko zgodność z regulacjami, ale także realną ochronę przed cyberzagrożeniami.