Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Jakie obowiązki nakłada NIS2 na firmy?

04 czerwiec 2024

Jakie obowiązki nakłada NIS2 na firmy?
Rafał Brudnicki

Rafał Brudnicki

Zabezpieczenie infrastruktury krytycznej i sieci informacyjnych jest priorytetem dla Unii Europejskiej. Dlatego też w 2023 r. opublikowana została dyrektywa NIS2, która wyznacza nowe standardy i wymagania dla przedsiębiorstw z różnych sektorów, w tym energetyki, transportu, bankowości oraz opieki zdrowotnej. Kogo dotyczą zapisy dyrektywy? Jakie pierwsze kroki podjąć w tym zakresie, by nie tylko spełnić regulacyjne wymogi, ale również zbudować solidną i odporną na zagrożenia cyfrowe infrastrukturę?

Czy wiesz, że…

  • Pierwsza wersja dyrektywy NIS została przyjęta w 2016 roku, jej zaktualizowaną formę – czyli NIS2 – uruchomiono 16 stycznia 2023 roku.
  • Termin implementacji wyznaczono na 17 października 2024 roku, a dokładny zakres nowych przepisów będzie zależał od decyzji polskiego ustawodawcy.
  • W Polsce w kwietniu br. Ministerstwo Cyfryzacji przedstawiło projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa w odniesieniu do dyrektywy NIS2. 

Czego dotyka NIS2?

Dyrektywa NIS2 (Network and Information Systems Directive) ma na celu stworzenie spójnego podejścia do bezpieczeństwa cyfrowego w całej Unii Europejskiej. Wszystko po to, by zwiększyć zdolność państw członkowskich do zapobiegania i reagowania na cyberzagrożenia, a także poprawić współpracę i wymianę informacji na poziomie międzynarodowym.

Aby to osiągnąć, w NIS2 znacząco rozszerzono ilość sektorów gospodarki oraz obowiązków i wymagań. Dyrektywa wskazuje aż 11 sektorów działalności wśród podmiotów kluczowych (czyli tych, które mają szczególne znaczenie dla funkcjonowania gospodarki i społeczeństwa, m.in. energetyka, transport, zdrowie, infrastruktura cyfrowa) i 7 wśród podmiotów ważnych (czyli pełniących istotne funkcje, ale z rolą nie tak krytyczną jak w przypadku podmiotów kluczowych, jak np. usługi cyfrowe, pocztowe i kurierskie, zarządzanie odpadami). 

Krok ku cyberbezpieczeństwu

Dyrektywa NIS2 nakłada bardziej rygorystyczne wymagania dot. zarządzania cyberryzykiem, oczekując od organizacji zastosowania zaawansowanych środków bezpieczeństwa i polityk zarządzania ryzykiem.

Wśród obowiązków znalazło się m.in. wdrożenie polityk i procedur rozwoju i utrzymania systemów informatycznych, wdrożenie MFA, plan ciągłości działania i zarządzania kryzysowego, monitorowanie i reagowanie na incydenty, raportowanie ich do odpowiednich organów w ciągu 24 h od wykrycia, a także szkolenia dla pracowników w zakresie cyberbezpieczeństwa.

Co ważne, środki zarządzania ryzykiem mają być proporcjonalne i mają uwzględniać stopień narażenia podmiotu na ryzyko, jego wielkość, prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze. Odpowiedzialność za wszelkie szkody w zakresie zarządzania cyberryzykiem ponosi zaś kierownictwo wyższego szczebla. 

A jeśli nie, to co...?

Warto podkreślić, że dyrektywa NIS2 wprowadza surowe sankcje za niespełnienie wymogów dotyczących bezpieczeństwa sieci i systemów informacyjnych. Organizacje, które nie dostosują się do nowych przepisów, mogą zostać ukarane grzywnami wynoszącymi nawet do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.

Kary te mają na celu zmotywowanie podmiotów do wdrożenia odpowiednich środków ochrony i zarządzania ryzykiem. Ponadto, dyrektywa przewiduje możliwość nałożenia dodatkowych sankcji, takich jak zakaz prowadzenia działalności gospodarczej w określonym sektorze lub konieczność wdrożenia konkretnych środków naprawczych.

Organy nadzoru będą miały również uprawnienia do przeprowadzania audytów i inspekcji, aby upewnić się, że organizacje spełniają wymagania dyrektywy. 

Pierwszy krok w stronię NIS2

Aby skutecznie przygotować się do wdrożenia zmian wymaganych przez dyrektywę NIS2, warto rozpocząć od przeprowadzenia kompleksowego audytu. Na początek warto zidentyfikować, czy i w jakim stopniu firma podlega nowym przepisom. Jest to niezbędne do zrozumienia specyficznych obowiązków i przygotowania odpowiedniej strategii dostosowawczej.

- Jak pokazują wyniki badań firmy Dell Technologies, średnio cyberataki kosztowały organizacje 2,61 mln dolarów, odpowiadały za 26 godzin nieplanowanego przestoju i spowodowały stratę 2,45 TB danych. Jednak – pomimo rosnącej liczby zagrożeń – wciąż spotykamy się z sytuacją, iż organizacje nie wiedzą, jak przygotować się do zmiany, a także czy podlegają pod dyrektywę NIS2 i jakie kroki powinny podjąć by dostosować się do jej wymogów. Taka sytuacja jest bardzo ryzykowna – powiedział Rafał Brudnicki z firmy Servers24.pl, wspierającej firmy we wdrażaniu rozwiązań IT, w tym również w zakresie cyberbezpieczeństwa.

- Dlatego ze swojej strony zachęcamy klientów na początek do rozmowy i przeprowadzenia audytu zgodności, który precyzyjnie określa obszary działalności wymagające dostosowania do nowych wymogów, identyfikuje luki i nieprawidłowości w obecnych systemach bezpieczeństwa. Dzięki takiemu podejściu organizacje mogą nie tylko spełnić wymogi dyrektywy, ale przede wszystkim zbudować bardziej odporną na zagrożenia cyfrowe infrastrukturę, zapewniając sobie długoterminową stabilność operacyjną — dodał.

Od audytu do działania

Ważną rolę odgrywają dziś nowoczesne rozwiązania bezpieczeństwa IT oferowane przez wiodących producentów. Firma Servers24.pl we współpracy m.in. z Dell Technologies czy Cisco, jest w stanie pomóc w sprawnym i kompletnym zaprojektowaniu, przetestowaniu (Proof of Concept) oraz wdrożeniu systemu ochrony danych.

Dostępne dziś na rynku produkty tych firm pozwalają na monitorowanie i neutralizację potencjalnych ataków, a także integrację z istniejącymi systemami IT. Dzięki temu firmy uzyskują stabilne i odporne na cyberataki środowisko, które pozwala im osiągnąć długoterminową stabilność biznesową. A o to przede wszystkim w NIS2 chodzi! 

Więcej o konkretnych rozwiązaniach Dell Technologies i Cisco w zakresie cyberbezpieczeństwa można dowiedzieć się z webinarów Servers24.pl. 

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności