W październiku 2024 roku zacznie obowiązywać unijna dyrektywa NIS (Network and Information Systems) 2. Będzie rozwinięciem poprzedniej dyrektywy NIS. Ma ona na celu lepsze przygotowanie państw członkowskich UE do coraz nowszych zagrożeń z zakresu cyberbezpieczeństwa, poprzez m.in. nałożenie kolejnych obowiązków na firmy. Co zatem nowego przyniesie NIS 2? Jakie podmioty obejmuje? Już dzisiaj warto zapoznać się z założeniami dyrektywy, ponieważ kary za brak odpowiedniego wdrożenia będą bardzo wysokie. 

Potrzebą, stojącą za wdrożeniem NIS 2 była zbyt duża dowolność wyboru kryteriów, które kraje członkowskie UE zyskały na mocy NIS (1).   

NIS 2 w skrócie

Jak już wspomnieliśmy we wstępie, dyrektywa ma na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. 

Przechodząc do skali makro, państwa zrzeszone w Unii będą musiały opracować strategie i polityki bezpieczeństwa i reagowania na incydenty cyberbezpieczeństwa. Zostaną też powołani międzypaństwowy łącznicy ds. incydentów oraz grupy współpracy. Powołany ma zostać rejestr podatności nadzorowany przez ENISA. 

To jednak nie wszystko. Firmy z następujących branż będą musiały spełniać nowe wymogi:

• Podmioty uznawane przez NIS 2 za "ważne" obejmują następujące sektory: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja, przetwarzanie oraz dystrybucja chemikaliów, żywności, ogólna produkcja, usługi cyfrowe i badania naukowe. Są to obszary istotne dla funkcjonowania społeczeństwa i gospodarki, które wymagają szczególnej uwagi pod względem bezpieczeństwa sieci i systemów informacyjnych.

• Natomiast podmioty określane jako "kluczowe" obejmują sektory o strategicznym znaczeniu, czyli energetykę, transport, bankowość, infrastrukturę rynków finansowych, opiekę zdrowotną, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, administrację publiczną oraz przestrzeń kosmiczną. W tym kontekście kluczowe sektory są traktowane jako kluczowe dla funkcjonowania społeczeństwa i gospodarki, a ich stabilność i bezpieczeństwo mają strategiczne znaczenie dla całego kraju. Dyrektywa NIS 2 nakłada szczególne wymagania bezpieczeństwa na te kluczowe obszary, mając na celu ochronę przed potencjalnymi zagrożeniami cybernetycznymi.

Co dokładnie będą musiały zrobić firmy?

Jeśli Twoja firma znalazła się na sektorze firm kluczowych lub ważnych, a do tego zatrudnia przynajmniej 50 osób lub jej roczny obrót wynosi więcej niż 10 milionów euro, będzie musiała wywiązać się z szeregu obowiązków, które wprowadza NIS 2. 

Są to przede wszystkim: 

• zarządzanie incydentami 
• opracowanie polityk analizy ryzyka i bezpieczeństwa systemów IT
• opracowanie polityk i procedur ocen skuteczności środków zarządzania ryzykiem z zakresu cyberbezpieczeństwa
• opracowanie polityk i procedur dotyczących stosowania kryptografii i szyfrowania
• zapewnienie ciągłości działania firmy poprzez zarządzanie kopiami zapasowymi, przywracanie stanu sprzed awarii oraz zarządzanie kryzysowe 
• zapewnienie bezpieczeństwa łańcucha dostaw, włączając relacje z dostawcami usług
• zapewnienie bezpieczeństwa w zakresie nabywania, rozwijania i utrzymywania sieci i systemów IT, wraz z obsługą podatności i ich ujawniania
• dobre praktyki i szkolenia z zakresu cyberbezpieczeństwa
• zabezpieczanie zarządzania zasobami, m.in. zasobami HR 
• stosowanie uwierzytelniania wieloskładnikowego lub uwierzytelniania ciągłego i bezpiecznych systemów komunikacji w organizacji 

Wysokie kary za niestosowanie się do NIS 2

Firmy, które znajdują się w gronie podmiotów “ważnych” lub “kluczowych” i nie zastosują się do nowego prawa, będą narażone na wysokie kary. Sięgają one do 10 milionów euro lub 2% całkowitego rocznego obrotu globalnego dla “kluczowych” oraz do 7 milionów euro lub 1,4% całkowitego rocznego obrotu globalnego dla “ważnych” podmiotów. 

Do kar finansowych dochodzi odpowiedzialność zarządu za naruszenia dyrektywy, tymczasowe zakazy wobec kadry kierowniczej a nawet tymczasowe zawieszenie wykonywania usług.

Przygotuj się na wejście w życie NIS 2 

Niecały rok, który pozostał do wejścia w życie przepisów NIS 2 to czas, który należy dobrze wykorzystać. Polecamy zacząć od działań przygotowawczych, które obejmą przeprowadzenie audytu bezpieczeństwa informatycznego, identyfikację potencjalnych zagrożeń oraz dostosowanie strategii ochronnej do nowego kontekstu przepisów NIS 2. 

Ważne jest również, aby zainwestować w szkolenia pracowników, zwiększając ich świadomość i umiejętności w zakresie reagowania na potencjalne incydenty cybernetyczne.

Mając w pamięci doświadczenia wielu firm z wdrażania europejskich przepisów RODO, należy pamiętać o tym, aby nie zostawiać przygotowań na ostatnią chwilę. Pamiętajmy, że odpowiednie zabezpieczenie cyfrowych danych firmy to nie tylko obowiązek wynikający z regulacji, ale także kluczowy element budowania zaufania klientów oraz utrzymania solidnej reputacji na rynku. 

Hawatel i NIS 2 

W obliczu rosnących wyzwań związanych z bezpieczeństwem cyfrowym, Hawatel oferuje wsparcie w przygotowaniu infrastruktury do zgodności z dyrektywą NIS2. Rozumiemy, jak kluczowe jest podniesienie poziomu bezpieczeństwa systemów informatycznych w dzisiejszym dynamicznie zmieniającym się środowisku cyfrowym. Dlatego oferujemy szereg sprawdzonych rozwiązań, takich jak Web Application Firewall (WAF), Security Information and Event Management (SIEM) oraz Multi-Factor Authentication (MFA), które są nie tylko skuteczne, ale również dopasowane do indywidualnych potrzeb każdego klienta. Jeśli szukasz partnera, który pomoże Ci zabezpieczyć Twoją infrastrukturę IT i dostosować ją do wymogów dyrektywy NIS2, skontaktuj się z nami już dziś. Zapewniamy profesjonalne doradztwo i wsparcie na każdym etapie wdrażania rozwiązań bezpieczeństwa.

Masz jakieś pytania? Skontaktuj się z nami!