NIS 2

Innowacyjny krok w zapewnianiu ochrony dla sieci i systemów informacyjnych.

W dobie coraz większej zależności od technologii cyfrowych i internetu, zagrożenia związane z cyberbezpieczeństwem są coraz bardziej istotne.

W odpowiedzi na te wyzwania, Unia Europejska przyjęła Dyrektywę NIS 2 – innowacyjny krok w zapewnianiu ochrony dla naszych sieci i systemów informacyjnych.

Obejrzyj WEBINAR

„Porozmawiajmy praktycznie, dlaczego NIS2 i zarządzanie użytkownikiem mają wiele wspólnego”

Nasz webinar to materiał skierowany do osób odpowiedzialnych za informatykę i ochronę sieci w dużych i średnich organizacjach –  wszędzie tam gdzie NIS2 jest poważnym wyzwaniem!

Czym dokładnie jest NIS 2 i dlaczego ma tak duże znaczenie?

W dniu 16 stycznia 2023 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) NIS 2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej.

Zastąpi ona obecnie obowiązującą Dyrektywę NIS.

NIS2 wychodzi naprzeciw zmieniającym się zagrożeniom i technologicznym wyzwaniom poprzez wprowadzenie spójnej struktury regulacyjnej, współpracę między państwami członkowskimi oraz wzmocnienie odporności na zagrożenia cybernetyczne.

Prawidłowe wdrożenie w życie Dyrektywy NIS 2 staje się jeszcze bardziej istotne, ze względu na fakt, że w związku z napiętą sytuacją geopolityczną w naszym regionie Polska stała się najczęściej atakowanym przez hakerów krajem spośród państw członkowskich NATO.

Zatem nawet jeśli firma wdrożyła już pewne zabezpieczenia w zakresie bezpieczeństwa sieci i informacji, to musi je dostosować do nowej rzeczywistości.

Z pełnym tekstem Dyrektywy można zapoznać się na stronie Dziennika Urzędowego Unii Europejskiej.

Państwa członkowskie mają 21 miesięcy na wdrożenie NIS 2 do porządku krajowego, licząc od daty przyjęcia, czyli do dnia 17 października 2024 r.

Nie wiesz, w jaki sposób nowe wymogi dotyczą Twojej organizacji?

Nasz opiekun handlowy skontaktuje się z Tobą, aby indywidualnie przeanalizować Twoją sytuację i dopasować najlepsze rozwiązanie.

Poznaj bliżej

Główne cele dyrektywy NIS 2

Zwiększenie odporności.

W obliczu coraz bardziej zaawansowanych ataków cybernetycznych, dyrektywa stawia nacisk na rozwijanie zdolności reagowania i przywracania usług po incydentach. Ma to na celu minimalizację potencjalnych skutków ataków dla naszej infrastruktury cyfrowej.

Wspólna struktura regulacyjna.

Dyrektywa NIS 2 dąży do stworzenia jednolitej struktury regulacyjnej w całej UE. Dzięki temu państwa członkowskie będą działać w zgodności z tą samą podstawą prawną, co ułatwi współpracę między nimi w przypadku incydentów o zasięgu transgranicznym.

Wzmacnianie świadomości.

Dyrektywa ma na celu nie tylko wzmocnienie zdolności reagowania na incydenty, ale także zwiększenie świadomości społecznej na temat zagrożeń i praktyk cyberbezpieczeństwa. Edukacja i informowanie obywateli oraz przedsiębiorstw są kluczowe dla zbudowania bardziej bezpiecznej przestrzeni cyfrowej.

Współpraca i wymiana informacji.

Wprowadzenie Dyrektywy NIS 2 ma umożliwić lepszą współpracę między państwami członkowskimi oraz pomiędzy sektorem publicznym a prywatnym. Wymiana informacji o zagrożeniach i incydentach będzie kluczowa dla efektywnego reagowania na wyzwania cybernetyczne.

Ochrona interesów krytycznej infrastruktury.

Dyrektywa NIS 2 stawia na ochronę sektorów kluczowych dla społeczeństwa i gospodarki. Operatorzy usług istotnych zostaną zobowiązani do stosowania wyższych standardów bezpieczeństwa, co przyczyni się do wzmocnienia ogólnego stanu cyberbezpieczeństwa.

Nie wiesz, w jaki sposób nowe wymogi dotyczą Twojej organizacji?

Nasz opiekun handlowy skontaktuje się z Tobą, aby indywidualnie przeanalizować Twoją sytuację i dopasować najlepsze rozwiązanie.

Kogo dotyczy dyrektywa NIS 2?

Nowa dyrektywa NIS 2 obowiązuje podmioty kluczowe i ważne, zastępując dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dyrektywa określa obowiązki dla tych podmiotów, które zostaną wdrożone na poziomie krajowym nie później niż na przełomie września i października 2024 roku.

Podmioty kluczowe są to podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. Podmioty kluczowe są integralnym elementem infrastruktury krytycznej Unii Europejskiej, a ich działalność ma bezpośredni wpływ na stabilność i bezpieczeństwo społeczne i gospodarcze. Od tych podmiotów oczekuje się, że będą one przestrzegać najwyższych standardów bezpieczeństwa.

Proces ustanowienia wykazu podmiotów kluczowych i ważnych będzie należał do obowiązków państw członkowskich, które będą odpowiedzialne za identyfikację tych podmiotów na swoim terytorium. Państwa członkowskie będą musiały określić kryteria i procedury identyfikacji, aby uwzględnić specyfikę swojego własnego rynku i sektorów. Ostateczne wykazy będą musiały zostać zgłoszone do Komisji Europejskiej.

Wyznaczone podmioty będą odpowiedzialne za podejmowanie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami związanymi z sieciami i systemami, które są wykorzystywane do świadczenia usług. Szacuje się, że w Polsce lista ta obejmie kilka tysięcy firm.

W skład podmiotów kluczowych wchodzą następujące sektory branżowe :

  • energetyki,
  • transportu,
  • bankowości i infrastruktury rynków finansowych,
  • ochrony zdrowia,
  • wody pitnej,
  • ścieków,
  • infrastruktury cyfrowej,
  • zarządzania usługami ICT,
  • podmiotów administracji publicznej oraz
  • przestrzeni kosmicznej.

Podmioty ważne obejmują branże :

  • usługi pocztowe i kurierskie
  • gospodarowanie odpadami
  • produkcja, wytwarzanie i dystrybucja chemikaliów
  • produkcja, przetwarzanie i dystrybucja żywności
  • produkcja wyrobów medycznych
  • produkcja komputerów, wyrobów elektronicznych i optycznych
  • produkcja urządzeń elektrycznych
  • dostawcy internetowych platform handlowych
  • dostawcy wyszukiwarek internetowych
  • dostawcy platform usług sieci społecznościowych
  • badania naukowe.

Prowadzenie działalności w sektorze kluczowym nie jest jedynym kryterium uznania za podmiot kluczowy.

Drugim kryterium jest wielkość podmiotu. Podmiotami kluczowymi będą, często podmioty duże, czyli zatrudniające więcej niż 250 osób, oraz których obroty roczne przekraczają 50 mln euro.

Wyjątkiem od tego są między innymi kwalifikowani dostawcy usług zaufania, dostawcy usług DNS czy rejestratorzy nazw domen najwyższego poziomu – będą oni uznawani za podmioty kluczowe niezależnie od wielkości

Warto podkreślić, że konkretne kategorie podmiotów objętych dyrektywą NIS 2 mogą różnić się w zależności od państwa członkowskiego, ponieważ dyrektywa wymaga implementacji na poziomie krajowym.

Obowiązki podmiotów kluczowych i ważnych w świetle dyrektywy NIS 2

Dyrektywa NIS 2 wprowadza nowe ramy obowiązków, wymaga od podmiotów kluczowych oraz ważnych, podjęcia konkretnych działań, takich jak:

  • regularne oceny ryzyka i wdrażanie odpowiednich środków zaradczych,
  • utrzymanie odpowiedniego poziomu bezpieczeństwa sieci i systemów informatycznych, co obejmuje zarówno aspekty techniczne, jak i organizacyjne,
  • zbudowanie i wdrożenie polityki bezpieczeństwa systemów teleinformatycznych, które są zgodne z normą ISO 27001,
  • wdrożenie standardowych procedur operacyjnych dotyczących raportowania incydentów do odpowiednich zespołów CSIRT i organów nadzorczych; raportowanie obejmuje zarówno fakt wystąpienia incydentu, jak i potencjalne zagrożenia mogące do niego prowadzić,
  • ustalenie polityki i procedury bezpieczeństwa, które regulują relacje pomiędzy nimi a ich dostawcami lub usługodawcami, w celu zapewnienia bezpiecznego i ciągłego świadczenia usług (bezpieczeństwo łańcucha dostaw),
  • opracowanie planu ciągłości działania (BCP), które obejmują przywracanie produkcji, procesów biznesowych i usług w przypadku incydentów cyberbezpieczeństwa.

Odpowiedzialność i skutki nieprzestrzegania dyrektywy NIS 2

Dyrektywa NIS 2 nadaje właściwym organom krajowym nowe środki kontrolne i nadzorcze. Na przykład, organy te będą miały możliwość przeprowadzania doraźnych kontroli wobec podmiotów kluczowych. Będą również uprawnione do nakładania administracyjnych kar pieniężnych na podmioty kluczowe i ważne w przypadku naruszenia przepisów.

NIS 2 wprowadza zasadę odpowiedzialności indywidualnej. Osoby fizyczne, które są odpowiedzialne za podmioty kluczowe lub ważne, lub działają w charakterze przedstawicieli prawnych tych podmiotów, mogą ponieść odpowiedzialność za niewywiązanie się z obowiązku zapewnienia przestrzegania dyrektywy. Oznacza to, że osoby te mogą być pociągnięte do odpowiedzialności za nieprzestrzeganie wymogów dotyczących cyberbezpieczeństwa.

Konsekwencjami mogą być dość dotkliwe kary finansowe, sięgające maksymalnej wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego światowego obrotu w przypadku podmiotów kluczowych. Podmioty ważne mogą liczyć się z karą do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku.

Dlaczego już teraz warto zainteresować się dyrektywą NIS 2?

Jak wskazaliśmy wyżej, zakres podmiotów mogących kwalifikować się jako podmioty kluczowe i ważne jest na gruncie NIS 2 bardzo szeroki. Podmioty, które działają we wskazanych sektorach, będą zobligowane same przeprowadzić ewaluację i stwierdzić, czy muszą wypełniać obowiązki nałożone odpowiednio na podmioty kluczowe lub ważne, bądź liczyć się z negatywnymi konsekwencjami braku zgodności z przepisami dyrektywy. Konsekwencjami mogą być dość dotkliwe kary finansowe.

Dobrą praktyką wydaje się zatem wcześniejsze zbadanie, czy dany podmiot będzie podlegał przepisom NIS 2, żeby móc odpowiednio przygotować się do zapewnienia odpowiednich struktur i mechanizmów zapewniających zgodność z tą regulacją.
W Polsce szacuje się, że lista ta obejmie kilka tysięcy firm.

Wprowadzenie Dyrektywy NIS 2 stanowi kolejny krok ku stworzeniu

bardziej bezpiecznej i zaufanej cyfrowej rzeczywistości.

Działania podejmowane w ramach dyrektywy są reakcją na rosnące zagrożenia cybernetyczne oraz rosnące znaczenie technologii w naszym życiu. Poprzez wzmocnienie zdolności reagowania na incydenty, współpracę międzynarodową oraz edukację, Dyrektywa NIS 2 dąży do zapewnienia nam spokojniejszego i pewniejszego korzystania z cyfrowych innowacji.

Jak możemy Ci pomóc?

Eksperci NetFormers są gotowi pomóc Twojej organizacji w osiągnięciu zgodności z Dyrektywą NIS 2.

Nawiąż z nami współpracę już dziś, aby zapewnić solidną ochronę infrastruktury krytycznej i wrażliwych danych.

Jako firma z wieloletnim doświadczeniem w branży cybersecurity oferujemy szereg rozwiązań, które zapewnią podniesienie poziomu bezpieczeństwa infrastruktury informatycznej w Twojej firmie, a jednocześnie pomogą spełnić wymogi rygorystycznej dyrektywy NIS2.

W ramach kompleksowego wsparcia oferujemy:

  • konsultacje i audyt rozwiązań bezpieczeństwa
  • przygotowanie strategii rozwoju infrastruktury bezpieczeństwa (wraz z budżetowaniem)
  • projektowanie rozwiązań bezpieczeństwa w następujących kategoriach:
    • implementacja nowoczesnej zapory ogniowej (Cisco Firepower)
    • ochrona bezpieczeństwa punktów końcowych (Cisco AMP/Umbrella/UTM)
    • uwierzytelnianie wieloskładnikowe (Cisco DUO)
    • kontrola dostępu do sieci (Cisco ISE)
    • ochrona poczty (Cisco Secure Email/Cisco Cloud Email Security)
    • ochrona ruchu DNS,Web (Umbrella SIG/SWG/Cisco Secure Web)
    • analiza złośliwych próbek (Cisco Secure Malware Analytics)
    • monitoring zagrożeń w sieci (Cisco Secure Analytics/LiveAction/Thousand Eyes)

Jeżeli masz pytania i wątpliwości, napisz do nas już dziś!

Pomożemy znaleźć odpowiedzi oraz dobrać rozwiązania, które pomogą spełniać wymogi dyrektywy.

8 + 5 =

Zostań z NetFormers!

Zostań z NetFormers!

Bez zbędnego spamu!

Dołącz do naszego Newslettera aby otrzymywać zaproszenia na bezpłatne szkolenia, webinary i warsztaty oraz solidną dawkę aktualnej wiedzy o rozwiązaniach z zakresu sieci i bezpieczeństwa na rynku.

Bądź na bieżąco!

Dziękujemy, że jesteś z Nami!