Nie jest nowością, że liczba cyberprzestępstw znacznie wzrasta na całym świecie, szczególnie w Europie. Dlatego w lipcu 2016 roku opublikowano Dyrektywę w sprawie sieci i systemów informacyjnych (NIS), która miała na celu poprawę ogólnego poziomu cyberbezpieczeństwa w Unii Europejskiej (UE).

 

Na podstawie tej pierwszej w historii legislacji UE dotyczącej cyberbezpieczeństwa, NIS 2 weszła w życie w grudniu 2022 roku, aby wzmocnić cyberbezpieczeństwo w UE, wprowadzając kompleksowy zestaw środków, których przyjęcie przez państwa członkowskie UE jest obowiązkowe do 17 października 2024 roku.

 

Aby zapewnić zgodność i uniknąć niepotrzebnych kar, teraz jest czas, aby organizacje przygotowały się na środki NIS 2. Oto wszystko, co muszą wiedzieć.

 

 

Czym jest Dyrektywa NIS 2?

Jest to do tej pory najbardziej kompleksowa legislacja UE dotycząca cyberbezpieczeństwa. Jej celem jest ustanowienie wytycznych dla organizacji świadczących usługi istotne i ważne, aby wiedziały, jak reagować w przypadku zagrożenia cybernetycznego. Dyrektywa ma również na celu poprawę współpracy między państwami członkowskimi UE w zakresie kwestii cyberbezpieczeństwa.


Zgodnie z Dyrektywą NIS 2, organizacje powinny wdrożyć co najmniej następujące środki:

  • Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informacyjnych.
  • Zarządzanie incydentami.
  • Ciągłość działania.
  • Bezpieczeństwo łańcucha dostaw.
  • Podstawowe praktyki higieny cybernetycznej i szkolenia z zakresu cyberbezpieczeństwa.
  • Procedury dotyczące użycia kryptografii i szyfrowania.
  • Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu oraz zarządzanie aktywami.
  • Użycie uwierzytelniania wieloskładnikowego (MFA), rozwiązań do ciągłego uwierzytelniania oraz systemów komunikacji zabezpieczonej.
  • I inne.

 

 

Jakie sektory są objęte dyrektywą?

Około 160 000 firm w 18 sektorach będzie musiało dostosować się do Dyrektywy NIS 2 – zasadniczo wszystkie średnie i duże przedsiębiorstwa, zatrudniające 50 lub więcej pracowników oraz osiągające przychody powyżej 10 milionów euro. Niemniej jednak niektóre mniejsze organizacje mogą być również uwzględnione, niezależnie od ich wielkości, jeśli zostaną zidentyfikowane przez państwa członkowskie jako kluczowi gracze w naszym społeczeństwie.

 

Te 18 sektorów jest podzielonych na dwie kategorie:

 

NIS 2 Sectors Infographic PL

 

Podmioty w obu kategoriach będą musiały przestrzegać przepisów, ale różnica dotyczy stopnia nadzoru oraz kar za nieprzestrzeganie przepisów:

  • Podmioty kluczowe mogą spodziewać się kar w wysokości do 10 milionów euro lub co najmniej 2% całkowitego rocznego światowego obrotu.
  • Podmioty ważne mogą spodziewać się kar w wysokości do 7 milionów euro lub co najmniej 1,4% całkowitego rocznego światowego obrotu.

 

 

Kolejne kroki i terminy NIS 2

Aby przygotować się na Dyrektywę NIS 2, państwa członkowskie i przedsiębiorstwa powinny być świadome, co się wydarzy i kiedy. Oto niektóre z najważniejszych dat, które należy mieć na uwadze:

  • Do 17 października 2024
    Państwa członkowskie muszą przyjąć niezbędne środki w celu dostosowania się do Dyrektywy NIS 2. Środki te powinny być stosowane od 18 października 2024 roku.

  • 17 stycznia 2025
    Grupa Współpracy NIS powinna ustanowić metodologię przeglądu rówieśniczego, aby uczyć się z wymiany doświadczeń, budować wzajemne zaufanie, poprawiać cyberbezpieczeństwo oraz zwiększać zdolności i polityki państw członkowskich w odniesieniu do tej dyrektywy.

  • Do 17 kwietnia 2025
    Państwa członkowskie powinny ustanowić listę podmiotów kluczowych i ważnych. Lista ta powinna być regularnie aktualizowana.

  • Do 17 października 2027
    Komisja Europejska powinna dokonać przeglądu funkcjonowania Dyrektywy NIS 2 i złożyć raport do Parlamentu Europejskiego oraz do Rady. Taki przegląd musi być przeprowadzany co 36 miesięcy po tym terminie.

 

Jak firmy mogą przygotować się na NIS 2?

Biorąc pod uwagę termin 17 października 2024 roku, zaleca się podjęcie działań już teraz. Mogą pojawić się przeszkody, więc planowanie z wyprzedzeniem pomoże utrzymać się na właściwej drodze.

 

Chociaż certyfikacja ISO 27001 stanowi solidną podstawę do zarządzania ryzykiem bezpieczeństwa, spełnienie wymogów NIS 2 będzie się różnić w zależności od przepisów krajowych. Organizacje posiadające certyfikację ISO 27001 mogą być bliżej zgodności z NIS 2, ale powinny pozostawać czujne na rozwijające się krajowe wymagania, aby zapewnić pełną zgodność.


Alter Solutions może pomóc w identyfikacji krytycznych usług i procesów Twojej firmy, zapewniając właściwe wdrożenie wszystkich środków NIS 2. Jak?

  • Ocena i diagnoza
    Zaczynamy od identyfikacji kluczowych usług i procesów Twojej firmy, aby zrozumieć, jak dyrektywa NIS 2 na nie wpłynie. Dostarczamy pełny raport i definiujemy plan działania z konkretnymi środkami zapewniającymi zgodność z NIS 2.

  • Wdrożenie niezbędnych środków
    Możemy pomóc w zdefiniowaniu polityk zarządzania ryzykiem, planu ciągłości działania, zabezpieczonych kanałów komunikacji, szkoleń z zakresu cyberbezpieczeństwa oraz innych aspektów, które mogą wymagać uwagi. Inicjujemy wdrożenie, biorąc pod uwagę specyficzny poziom bezpieczeństwa Twojej firmy.

  • Regularne monitorowanie
    Na tym etapie Twoja firma jest już zgodna z NIS 2. Niemniej jednak ważne jest, aby regularnie sprawdzać skuteczność wszystkich wdrożonych środków i dostosowywać je w razie potrzeby. To ciągłe zadanie, w którym zapewniamy pełne wsparcie, jakiego potrzebujesz.

 

  Dowiedz się więcej o skutkach prawnych dyrektywy NIS 2 w tym artykule.

 
Dyrektywa NIS 2 to ogólnoeuropejskie przepisy dotyczące cyberbezpieczeństwa
Weryfikacja zgodności z NIS 2
Alter Solutions może pomóc Twojej firmie w przygotowaniu do pełnej zgodności z Dyrektywą NIS 2.
Dowiedz się więcej
Udostępnij ten artykuł