Dyrektywa NIS2 ma na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej poprzez nałożenie nowych obowiązków na firmy w kluczowych sektorach. Przepisy, które wchodzą w życie w Polsce w 2024 roku, wymagają m.in. zarządzania ryzykiem i raportowania incydentów cybernetycznych. Jak sprawdzić, czy Twoja firma musi wdrożyć nowe rozwiązania?
Spis treści:
- Czym jest Dyrektywa NIS2?
- Jakie sektory obejmuje Dyrektywa NIS2?
- Obowiązki firm wynikające z Dyrektywy NIS2
- Jak sprawdzić, czy Dyrektywa NIS2 dotyczy Twojej firmy?
- Jak przygotować firmę na wdrożenie Dyrektywy NIS2?
Najważniejsze informacje:
- Firmy muszą przeprowadzić ocenę zgodności z Dyrektywą NIS2, obejmującą analizę ryzyka oraz identyfikację krytycznych zasobów informatycznych.
- Wymagane jest wdrożenie odpowiednich środków zarządzania ryzykiem i bezpieczeństwem IT, dostosowanych do specyfiki działalności oraz współpraca z ekspertami ds. cyberbezpieczeństwa.
- Zarząd i pracownicy muszą przejść szkolenia z zakresu cyberbezpieczeństwa, a firmy objęte regulacjami muszą zarejestrować się w rejestrze podmiotów kluczowych lub ważnych.
Czym jest Dyrektywa NIS2?
Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) jest aktem prawnym mającym na celu ustanowienie środków na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa na terenie Unii Europejskiej. Ten akt prawny stanowi odpowiedź na rosnące zagrożenia w obszarze cyfrowym, które są konsekwencją postępującej cyfryzacji i wzrastającej zależności sektora publicznego oraz prywatnego od technologii informacyjno-komunikacyjnych (ICT).
Głównym celem dyrektywy jest poprawa zdolności państw członkowskich do zapobiegania, reagowania oraz łagodzenia skutków cyberataków. Ma to się przyczynić do lepszego funkcjonowania rynku wewnętrznego oraz wzmocnienia bezpieczeństwa cyfrowego całej Unii.
Główne założenia Dyrektywy NIS2
Dyrektywa NIS2 wprowadza istotne zmiany w porównaniu do wcześniejszej dyrektywy NIS (Dyrektywa (UE) 2016/1148). Przede wszystkim rozszerza katalog sektorów objętych regulacjami oraz upraszcza podział podmiotów na dwie kategorie: podmioty kluczowe (essential entities) i podmioty ważne (important entities).
Dyrektywa nakłada na państwa członkowskie obowiązek wdrożenia odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zobowiązuje podmioty objęte przepisami do raportowania poważnych incydentów cybernetycznych.
Nowością jest również większa odpowiedzialność kadry zarządzającej za zgodność z wymogami w zakresie cyberbezpieczeństwa, a także intensyfikacja współpracy na poziomie europejskim poprzez utworzenie Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni.
Termin wejścia w życie oraz zakres obowiązywania w Polsce
Dyrektywa NIS2 weszła w życie dnia 16 stycznia 2023 r., a państwa członkowskie, w tym Polska, mają 21 miesięcy na dostosowanie krajowych przepisów do nowych wymogów. Oznacza to, że przepisy wynikające z Dyrektywy NIS2 będą musiały być stosowane w Polsce od dnia 18 października 2024 r.
Implementacja dyrektywy wymaga od Polski nie tylko dostosowania przepisów prawnych, ale również wzmocnienia infrastruktury instytucjonalnej w obszarze cyberbezpieczeństwa, w tym powołania nowych organów nadzorczych oraz wdrożenia mechanizmów współpracy z innymi państwami członkowskimi Unii Europejskiej.
Jakie sektory obejmuje Dyrektywa NIS2?
Dyrektywa NIS2 znacząco rozszerza zakres sektorów objętych regulacjami w zakresie cyberbezpieczeństwa w porównaniu do poprzedniej dyrektywy NIS. Główne sektory, które podlegają nowym przepisom, obejmują zarówno tradycyjne obszary gospodarki, jak i te nowo wprowadzone, mające istotne znaczenie dla funkcjonowania społeczeństwa oraz rynku wewnętrznego Unii Europejskiej.
Podział na podmioty kluczowe i istotne
Jak wspomnieliśmy, dyrektywa NIS2 wprowadza podział na dwa typy podmiotów:
- Podmioty kluczowe (essential entities) – są to podmioty, które pełnią fundamentalną rolę w danym sektorze i ich działalność ma bezpośredni wpływ na funkcjonowanie kluczowych usług na rynku wewnętrznym. Obejmuje to m.in. operatorów infrastruktury krytycznej w sektorach energetycznym, transportowym czy wodociągowym.
- Podmioty istotne (important entities) – ich działalność jest również ważna dla funkcjonowania rynku, jednak ich znaczenie gospodarcze i społeczne jest mniejsze niż w przypadku podmiotów kluczowych. Te podmioty obejmują, między innymi, firmy technologiczne, mniejsze instytucje publiczne czy przedsiębiorstwa działające w sektorze cyfrowym.
Podział na podmioty kluczowe i istotne ma wpływ na zakres obowiązków wynikających z dyrektywy, w szczególności w zakresie wdrażania środków zarządzania ryzykiem w cyberbezpieczeństwie oraz raportowania incydentów.
Kluczowe sektory objęte dyrektywą:
- Transport – obejmuje infrastrukturę krytyczną w zakresie transportu lotniczego, morskiego, kolejowego oraz drogowego.
- Infrastruktura cyfrowa – sektor ten obejmuje m.in. dostawców usług chmurowych, rejestry nazw domen (DNS), platformy cyfrowe, jak również inne kluczowe usługi cyfrowe.
- Sektor energetyczny – dotyczy infrastruktury wytwarzania, przesyłu i dystrybucji energii, w tym elektryczności, gazu oraz ropy naftowej.
- Wodociągi i gospodarka wodna – obejmuje zaopatrzenie w wodę pitną, jej dystrybucję oraz zarządzanie ściekami.
- Sektor żywnościowy – związany z produkcją, przetwórstwem i dystrybucją żywności, co ma istotny wpływ na bezpieczeństwo żywnościowe społeczeństwa.
- Przemysł – dotyczy szeroko rozumianego sektora produkcyjnego, w tym przemysłu chemicznego i farmaceutycznego.
- Administracja publiczna – obejmuje instytucje publiczne świadczące usługi dla obywateli, z wyjątkiem tych prowadzących działania związane z bezpieczeństwem narodowym, obronnością oraz egzekwowaniem prawa.
Obowiązki firm wynikające z Dyrektywy NIS2
Do głównym zadań firm, które wynikają z dyrektywy NIS2, należą:
1. Zarządzanie ryzykiem cyberbezpieczeństwa
Każda firma, której działalność objęta jest Dyrektywą NIS2, zobowiązana jest do wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Środki te mają na celu:
- Identyfikację zagrożeń i ocenę ryzyka – w celu ochrony systemów informatycznych oraz infrastruktury krytycznej.
- Zarządzanie ryzykiem – wdrażanie procedur monitorujących bezpieczeństwo oraz szybkie reagowanie na potencjalne zagrożenia.
- Minimalizację skutków incydentów – firmy muszą być przygotowane na szybkie ograniczenie skutków cyberataków i przywrócenie normalnej działalności.
Środki te powinny być dostosowane do wielkości firmy, poziomu ryzyka oraz specyfiki sektora, w którym działa przedsiębiorstwo. Firmy są również zobowiązane do monitorowania bezpieczeństwa łańcucha dostaw. Oznacza to, że muszą kontrolować swoich dostawców pod kątem zgodności z wymaganiami cyberbezpieczeństwa.
2. Raportowanie incydentów cyberbezpieczeństwa
Dyrektywa NIS2 nakłada obowiązek raportowania poważnych incydentów cyberbezpieczeństwa, które mogą mieć wpływ na działalność firmy lub na inne podmioty. Jak powinno wyglądać raportowanie?
- Wczesne ostrzeżenie – firmy muszą zgłosić incydent w ciągu 24 godzin od jego wykrycia, przekazując informacje na temat charakteru incydentu oraz potencjalnych skutków.
- Raport główny – w ciągu 72 godzin należy dostarczyć szczegółowe informacje o incydencie, w tym jego dotkliwość, przyczyny oraz zastosowane środki naprawcze.
- Sprawozdanie końcowe – w ciągu miesiąca od zgłoszenia firmy muszą przedstawić raport końcowy, zawierający pełny opis incydentu, jego skutki oraz działania naprawcze.
Dodatkowo firmy muszą informować klientów i odbiorców usług o incydentach, które mogą wpływać na jakość świadczonych usług lub powodować poważne zagrożenia.
3. Dobrowolne zgłaszanie incydentów i cyberzagrożeń
Podmioty objęte Dyrektywą NIS2 mają możliwość dobrowolnego zgłaszania incydentów lub cyberzagrożeń do odpowiednich organów, takich jak Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Zgłoszenia te, choć nieobowiązkowe, mogą przyczynić się do szybszej reakcji na zagrożenia i lepszej ochrony firmy.
4. Odpowiedzialność zarządów firm
Zarządy firm objętych Dyrektywą NIS2 ponoszą pełną odpowiedzialność za zgodność z przepisami dotyczącymi cyberbezpieczeństwa. Obejmuje to m.in. zatwierdzanie polityk zarządzania ryzykiem oraz nadzór nad ich wdrażaniem. W przypadku naruszeń, zarządy mogą być pociągnięte do odpowiedzialności finansowej lub prawnej.
5. Szkolenia z zakresu cyberbezpieczeństwa
Zarządy firm muszą regularnie uczestniczyć w szkoleniach z zakresu zarządzania ryzykiem w cyberbezpieczeństwie, aby zapewnić, że mają wystarczającą wiedzę na temat ochrony systemów informatycznych. Przedsiębiorstwa powinny także organizować szkolenia dla pracowników, choć nie jest to obowiązek, a raczej zalecenie.
6. Wpis do rejestru podmiotów kluczowych i ważnych
Firmy, które spełniają kryteria Dyrektywy NIS2, mają obowiązek zarejestrować się jako podmioty kluczowe lub istotne w rejestrze prowadzonym przez właściwy organ krajowy. Rejestracja ta jest wymagana, aby podmioty były monitorowane pod kątem zgodności z wymogami dyrektywy.
Przeczytaj także: Ochrona danych i cyberbezpieczeństwo w biurach rachunkowych – najlepsze praktyki
Jak sprawdzić, czy Dyrektywa NIS2 dotyczy Twojej firmy?
Aby ustalić, czy Twoja firma jest objęta obowiązkami wynikającymi z Dyrektywy NIS2, należy dokładnie przeanalizować kryteria zawarte w przepisach dyrektywy. Oto wytyczne, które pomogą określić, czy Twoja firma podlega tej dyrektywie.
1. Sprawdź, czy Twoja firma działa w objętych sektorach
Dyrektywa NIS2 dotyczy firm, które działają w kluczowych sektorach gospodarki. Jeśli Twoja firma działa w jednym z tych nich, istnieje duże prawdopodobieństwo, że podlega Dyrektywie NIS2.
2. Kryterium wielkości firmy
NIS2 generalnie obejmuje średnie i duże przedsiębiorstwa, które działają w wyżej wymienionych sektorach. Zgodnie z przepisami Unii Europejskiej, średnim przedsiębiorstwem jest firma zatrudniająca co najmniej 50 pracowników lub osiągająca roczne obroty powyżej 10 milionów euro.
Małe i średnie firmy, które działają w kluczowych sektorach, również mogą być objęte regulacjami, szczególnie jeśli ich działalność ma znaczenie krytyczne dla funkcjonowania społeczeństwa i gospodarki.
3. Przedsiębiorstwa nieobjęte Dyrektywą NIS2
Dyrektywa NIS2 nie dotyczy wszystkich firm. Z jej zakresu wyłączone są:
- Podmioty świadczące usługi wyłącznie dla administracji publicznej w obszarach takich jak obronność, bezpieczeństwo narodowe czy egzekwowanie prawa.
- Przedsiębiorcy zwolnieni na podstawie innych przepisów, takich jak DORA (Dyrektywa dotycząca odporności cyfrowej rynku finansowego).
4. Kiedy NIS2 obowiązuje niezależnie od wielkości firmy?
Dyrektywa NIS2 obejmuje również niektóre firmy niezależnie od ich wielkości, jeśli świadczą określone usługi kluczowe dla funkcjonowania infrastruktury cyfrowej. Przykłady takich firm to:
- Dostawcy usług DNS i TLD (top-level domain).
- Dostawcy kwalifikowanych usług zaufania.
- Operatorzy publicznych sieci łączności elektronicznej.
5. Kiedy NIS2 obowiązuje małe i średnie przedsiębiorstwa?
Małe i średnie przedsiębiorstwa (MŚP) mogą podlegać Dyrektywie NIS2, jeśli ich działalność ma istotny wpływ na bezpieczeństwo społeczne lub gospodarcze w danym kraju lub sektorze. Działalność takiego przedsiębiorstwa musi być istotna z punktu widzenia utrzymania ciągłości świadczenia usług krytycznych dla funkcjonowania kraju. Dodatkowo ministerialne organy krajowe mogą kwalifikować określone MŚP jako podmioty kluczowe lub ważne, jeśli spełniają one szczególne kryteria.
Jak przygotować firmę na wdrożenie Dyrektywy NIS2?
Jak skutecznie przygotować firmę na wdrożenie Dyrektywy NIS2? Oto kilka kroków, jakie warto w tym celu podjąć.
1. Ocena zgodności i analiza ryzyka
Pierwszym krokiem jest przeprowadzenie oceny zgodności z wymogami NIS2 oraz analizy ryzyka. Firma powinna określić, w jakim stopniu jej działalność i infrastruktura IT są zgodne z nowymi przepisami oraz jakie ryzyka związane z cyberbezpieczeństwem mogą występować.
- Analiza luk – sprawdź, jakie zabezpieczenia firma posiada obecnie oraz jakie braki należy uzupełnić, aby spełnić wymogi NIS2.
- Identyfikacja krytycznych zasobów – określ, które systemy informatyczne i procesy są kluczowe dla działalności firmy i mogą być narażone na cyberataki.
2. Wdrożenie środków zarządzania ryzykiem
NIS2 wymaga, aby firmy wprowadziły odpowiednie środki zarządzania ryzykiem, które będą proporcjonalne do wielkości przedsiębiorstwa oraz stopnia zagrożenia. Co należy zrobić?
- Opracowanie polityki zarządzania ryzykiem – polityka powinna obejmować monitorowanie zagrożeń, wdrażanie procedur reagowania na incydenty oraz regularne aktualizowanie zabezpieczeń.
- Bezpieczeństwo łańcucha dostaw – zadbaj o to, aby dostawcy oraz partnerzy biznesowi, którzy dostarczają krytyczne usługi lub produkty, również spełniali wymogi NIS2. Firmy muszą kontrolować zgodność swoich dostawców z zasadami cyberbezpieczeństwa.
3. Audyty i testy bezpieczeństwa IT
Przeprowadzenie audytu bezpieczeństwa IT to kolejny krok w przygotowaniach. Audyty powinny być wykonywane zarówno przez zespół wewnętrzny, jak i zewnętrznych ekspertów, aby upewnić się, że wdrożone środki zarządzania ryzykiem są skuteczne.
4. Współpraca z ekspertami ds. cyberbezpieczeństwa
Wdrożenie wymogów NIS2 może wymagać zaangażowania specjalistów z zakresu cyberbezpieczeństwa. Współpraca z ekspertami umożliwi firmie prawidłowe zrozumienie nowych wymagań oraz wdrożenie odpowiednich środków ochronnych.
5. Szkolenia dla zarządu i pracowników
Dyrektywa NIS2 nakłada obowiązek szkolenia zarządu firmy z zakresu zarządzania ryzykiem cyberbezpieczeństwa. Zarząd musi posiadać wystarczającą wiedzę, aby nadzorować procesy zabezpieczające i podejmować właściwe decyzje. Szkolenia powinny obejmować:
- kadrę zarządzającą – zarząd odpowiada za wdrażanie środków zarządzania ryzykiem oraz monitorowanie ich skuteczności;
- pracowników – chociaż dyrektywa nie wymaga obligatoryjnych szkoleń dla pracowników, zaleca się, aby wszyscy pracownicy byli szkoleni w zakresie podstawowych zasad bezpieczeństwa IT i reagowania na incydenty.
6. Opracowanie procedur raportowania incydentów
Firmy muszą wdrożyć odpowiednie procedury zgłaszania incydentów cyberbezpieczeństwa zgodnie z wymogami NIS2. Incydenty, które mają istotny wpływ na działalność firmy, muszą być raportowane do odpowiednich organów w ciągu określonych terminów.
7. Wpis do rejestru podmiotów kluczowych i ważnych
Firmy, które spełniają kryteria Dyrektywy NIS2, muszą się zarejestrować w rejestrze podmiotów kluczowych i ważnych.
Podsumowanie
Dyrektywa NIS2 wprowadza nowy standard w zakresie cyberbezpieczeństwa. Nowe przepisy obejmują organizacje działające w ramach sektorów takich jak energetyka, transport, zdrowie, infrastruktura cyfrową czy przemysł. Nakładając na firmy obowiązki zarządzania ryzykiem, raportowania incydentów oraz wdrożenia środków zabezpieczających, dyrektywa dąży do zwiększenia odporności na cyberzagrożenia w całej Unii Europejskiej.
Zarządzaj sprawnie danymi oraz bezpieczeństwem swojego przedsiębiorstwa. Zobacz, jak enova365 pomoże Ci sprawnie i bezpiecznie wprowadzić cyfryzację do Twojej organizacji. Umów się na prezentację z naszym konsultantem i poznaj nasz system!
Bibliografia:
- https://www.gov.pl/web/infrastruktura/informacje-biezace
- https://digital-strategy.ec.europa.eu/pl/policies/nis2-directive
- https://www.biznes.gov.pl/pl/portal/005120
- https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022L2555