Strona głównaStrona głównaseparatorBlogseparatorNowe zasady zgłaszania incydentów, czyli jakie zmiany niesie ze sobą NIS2

Nowe zasady zgłaszania incydentów, czyli jakie zmiany niesie ze sobą NIS2

Nowe zasady zgłaszania incydentów, czyli jakie zmiany niesie ze sobą NIS2

Wyobraź sobie, że Twój system zostaje sparaliżowany przez ransomware w środę o 10:00. Według nowych przepisów, masz czas tylko do czwartku do 10:00, aby wysłać pierwsze powiadomienie do organów nadzorczych. Dyrektywa NIS2 zmienia podejście do cyberbezpieczeństwa z „można to zrobić” na „musisz to zrobić szybko i według schematu”. To już nie tylko kwestia działu IT, ale odpowiedzialność zarządu, która w przypadku zaniedbań może uderzyć bezpośrednio w portfel firmy. Przeczytaj, jak przygotować się na te zmiany, aby uniknąć kar i chaosu.

Spis treści:

  1. Czym jest incydent według NIS2?

  2. Trzy etapy raportowania

  3. Kogo dotyczą nowe obowiązki?

  4. Odpowiedzialność zarządu i dotkliwe sankcje

  5. Jak przygotować firmę na zmiany?

  6. Podsumowanie

Czym jest incydent według NIS2?

W nowych przepisach definicja incydentu jest szeroka. To każde zdarzenie, które narusza dostępność, autentyczność, integralność lub poufność danych i usług. Kluczowe jest jednak pojęcie „poważnego incydentu”.

Poważny incydent to taki, który powoduje dotkliwe zakłócenia operacyjne lub straty finansowe dla Twojej firmy. To także zdarzenie, które uderza w inne podmioty, wywołując szkody majątkowe lub niemajątkowe. Jeśli atak na Twoje systemy uniemożliwia klientom korzystanie z usług lub sprawia, że wyciekają ich dane, masz do czynienia z poważnym incydentem.

Trzy etapy raportowania

NIS2 odchodzi od jednorazowych zgłoszeń na rzecz procesu raportowania. Masz konkretne terminy, których przekroczenie jest łatwe do zweryfikowania przez organy kontrolne.

Wczesne ostrzeżenie (do 24 godzin)

Musisz poinformować CSIRT, że doszło do incydentu. Na tym etapie nie musisz znać wszystkich szczegółów, ale powinieneś określić, czy atak był celowy i czy może mieć skutki transgraniczne.

Zgłoszenie incydentu (do 72 godzin)

Tutaj przesyłasz wstępną ocenę sytuacji, opisujesz dotkliwość zdarzenia oraz wskazujesz parametry techniczne (tzw. wskaźniki integralności), jeśli nimi dysponujesz.

Raport końcowy (do 1 miesiąca)

To szczegółowe podsumowanie. Musisz w nim opisać pierwotną przyczynę ataku, zastosowane środki naprawcze oraz ostateczne skutki dla firmy i otoczenia.

Kogo dotyczą nowe obowiązki?

Zasady NIS2 dzielą firmy na podmioty kluczowe i ważne. Katalog branż został znacznie rozszerzony. Oprócz energetyki czy bankowości, na liście znalazły się m.in. usługi pocztowe, gospodarka odpadami, produkcja żywności oraz produkcja chemikaliów.

Podział ten ma znaczenie dla wysokości potencjalnych kar oraz intensywności nadzoru. Podmioty kluczowe są monitorowane proaktywnie, natomiast podmioty ważne zazwyczaj reagująco, gdy dojdzie już do naruszenia.

Odpowiedzialność zarządu i dotkliwe sankcje

To najważniejsza zmiana dla kadry zarządzającej. W NIS2 odpowiedzialność za cyberbezpieczeństwo spoczywa na kierowniku jednostki (np. prezesie zarządu). Osoby na takich stanowiskach mają obowiązek odbycia szkoleń z zakresu cyberbezpieczeństwa.

Ignorowanie tych przepisów wiąże się z ryzykiem finansowym:

  • podmioty kluczowe: kara do 10 mln EUR lub 2% globalnego rocznego obrotu.

  • podmioty ważne: kara do 7 mln EUR lub 1,4% globalnego rocznego obrotu.

Kary są wyliczane na podstawie tego, która z kwot jest wyższa, co sprawia, że dla dużych graczy mogą to być sumy liczone w dziesiątkach milionów.

Jak przygotować firmę na zmiany?

Zgodność z NIS2 to proces, który nie zadzieje się sam. Wymaga audytu i wdrożenia procedur, które zadziałają w stresie podczas ataku. Najważniejsze kroki to:

  • Weryfikacja statusu - sprawdź, czy Twoja firma jest podmiotem kluczowym czy ważnym.

  • Aktualizacja procedur - stwórz ścieżkę raportowania zgodną z modelem 24h/72h/1 miesiąc.

  • Zarządzanie ryzykiem - wdróż systemy wykrywania zagrożeń i regularnie oceniaj stan Twojej infrastruktury.

  • Szkolenia zespołu - upewnij się, że pracownicy wiedzą, jak rozpoznać incydent i kogo o nim poinformować.

Podsumowanie

Wdrożenie standardów NIS2 to proces, który chroni nie tylko przed karami, ale przede wszystkim przed stratami wynikającymi z przestojów. W KNT Technology rozumiemy, że technologia musi służyć biznesowi, a nie generować dodatkowy opór. Pomagamy firmom przejść przez proces audytu, dobrać odpowiednie narzędzia monitorujące i przeszkolić zespół tak, aby cyberbezpieczeństwo stało się naturalnym elementem codziennej pracy.

Nie czekaj na ostatnią chwilę przed wejściem przepisów w życie. Skontaktuj się z nami, a sprawdzimy, jak najlepiej dostosować Twoją infrastrukturę do nowych wymogów prawnych i technicznych. Zadbajmy o ciągłość Twojego biznesu razem.