W październiku 2024 roku prawie 200 tysięcy firm będzie musiało dostosować swoje przedsiębiorstwo do Dyrektywy NIS2 wprowadzając wymagania dotyczące cyberbezpieczeństwa. Dyrektywa NIS2 to swojego rodzaju odpowiedź na wszechobecną cyfryzacje europejskiego rynku, która eskaluje w ekspresowym tempie.
Czy Dyrektywa NIS2 jest potrzebna? Naszym zdaniem, jak najbardziej.
Dyrektywa NIS2 to dobry krok w kierunku zachowania cyberbezpieczeństwa i uniknięcia ogromnych strat finansowych podczas ataku hakerskiego. Biorąc pod uwagę zagrożenia cybernetyczne oraz skalę ataków pishingowych i ataków ransomware, która dotyka przedsiębiorstwa zarówno Polskie jak i europejskie.
Dyrektywa NIS2 powstała już w 2016 roku wraz z rosnącą popularnością cyfryzacji struktur administracyjnych. Jednak czekają nas niemałe zmiany i od roku 2024, znacznie poszerzy wpływ na różne podmioty oraz sektory. Dodatkowo nowością jest fakt, że restrykcje obejmą nie tylko duże korporacje, ale również małe i średnie przedsiębiorstwa.
Kogo dotyczy dyrektywa NIS2?
Warto zaznaczyć, że Dyrektywa NIS2 obejmie sektory takie jak:
- Podmioty Kluczowe (Essential Entities):
- Dostawcy Energii: Dotyczy firm odpowiedzialnych za produkcję i dostarczanie energii
- Przedsiębiorstwa Transportowe: Obejmuje sektor transportu, od linii lotniczych po firmy logistyczne, mające wpływ na płynność działania wielu sektorów gospodarki.
- Bankowość i Infrastruktura Rynku Finansowego: Wpływa na instytucje finansowe oraz infrastrukturę rynku finansowego, kluczowe dla stabilności ekonomicznej.
- Opieka Zdrowotna i Produkcja Farmaceutyczna: Dotyka sektora opieki zdrowotnej oraz producentów farmaceutycznych, których działalność ma bezpośredni wpływ na zdrowie publiczne.
- Infrastruktura Wodociągów i Oczyszczalni Ścieków: Skupia się na firmach zarządzających infrastrukturą wodno-ściekową, niezbędną dla społeczeństwa.
- Administracja Publiczna: Dotyczy sektora administracji publicznej, zobowiązanego do utrzymania bezpieczeństwa informacji publicznej.
- Usługi ICT: Wpływa na firmy świadczące usługi związane z technologią informacyjną i komunikacyjną, które są kluczowe dla funkcjonowania innych sektorów.
- Infrastruktura Cyfrowa: Obejmuje dostawców usług chmurowych, centra danych, systemy nazw domenowych (DNS) oraz publiczne sieci komunikacyjne, stanowiące o fundamentach dzisiejszej cyfryzacji.
- Podmioty Ważne (Important Entities):
- Usługi Pocztowe i Kurierskie: Dotyczy firm świadczących usługi pocztowe i kurierskie, które odgrywają rolę w logistyce i przepływie informacji.
- Gospodarka Odpadami: Wpływa na sektor zarządzania odpadami, kluczowy dla ochrony środowiska.
- Produkcja Chemiczna: Obejmuje firmy zaangażowane w produkcję chemiczną, kluczową dla wielu branż.
- Produkcja i Przetwarzanie Żywności: Dotyczy sektora produkcji i przetwarzania żywności, mającego znaczący wpływ na bezpieczeństwo żywnościowe społeczeństwa.
- Produkcja Elektroniki, Maszyn i Pojazdów Samochodowych: Wpływa na firmy produkujące elektronikę, maszyny oraz pojazdy samochodowe, kluczowe dla przemysłu.
- Platformy Online, Wyszukiwarki i Portale Społecznościowe: Dotyczy firm prowadzących platformy online, wyszukiwarki oraz portale społecznościowe, mające duży wpływ na przepływ informacji w społeczeństwie.
- Instytucje Edukacyjne i Badawcze: Obejmuje sektor edukacyjny i instytucje badawcze, kluczowe dla rozwoju społeczeństwa i gospodarki.
Jakie wymagania obejmuje Dyrektywa NIS2?
-
Zarządzanie Dostępem w Zero Trust:
Jednym z kluczowych elementów jest implementacja idei Zero Trust w zarządzaniu dostępem. Oznacza to ograniczenie dostępu do danych tylko do niezbędnego minimum (Just Enough) przez określony czas (Just in Time).
Więcej o Zero Trust możecie poczytać tutaj: Zero Trust – Praktyczny przewodnik
-
Audyty i Skanowanie Bezpieczeństwa:
Dyrektywa przewiduje również, że organy nadzorcze będą systematycznie oraz ad hoc przeprowadzały audyty oraz skanowanie bezpieczeństwa wśród kluczowych podmiotów, z którymi współpracują, więc ważne jest, aby przedsiębiorstwa były odpowiednio przygotowane na ewentualne kontrole. Podsumowując, przedsiębiorstwa, zwłaszcza te zaliczane jako Podmioty Kluczowe (Essential Entities), powinny być przygotowane na audyty i skanowanie bezpieczeństwa. Dlatego kluczowe jest utrzymanie wysokich standardów cyberbezpieczeństwa. Regularne audyty własnej infrastruktury mogą również pomóc w identyfikacji i naprawie potencjalnych luk w bezpieczeństwie przed planowanymi lub niespodziewanymi kontrolami.
Więcej o Audytowaniu dowiesz się : Skuteczne wdrożenie wymagań NIS2 – Poznaj Telescope oraz Jak wdrożyć nowe wymogi prawne – NIS2, DORA, TISAX,RODO i ISO 27001
Produkt Telescope: Telescope – Samodzielny audyt bezpieczeństwa
-
Raportowanie Incydentów:
Organizacje objęte Dyrektywą NIS 2 zobowiązane są do natychmiastowego zgłaszania incydentów bezpieczeństwa organowi nadzorczemu i wszystkim dotkniętym podmiotom. Pierwszy raport powinien zawierać wstępną ocenę, a szczegółowy raport musi być dostarczony w ciągu miesiąca.
-
Kary za Niestosowanie Się do Dyrektywy
- Podmioty Kluczowe : grzywny administracyjne w wysokości co najmniej 10 000 000 EUR lub co najmniej 2% ogólnego światowego rocznego obrotu w roku poprzedzającym finansowy dla przedsiębiorstwa
- Tymczasem podmioty Ważne: grzywny administracyjne w wysokości co najmniej 7 000 000 EUR lub co najmniej 1,4 % ogólnego światowego rocznego obrotu w roku poprzedzającym finansowy dla przedsiębiorstwa
- Pamiętając, że kary bedą obejmować zarząd podmiotu, a nie dział IT.
Podsumowując, wprowadzenie Dyrektywy NIS 2 to ogromne wyzwanie dla firm. Jednak z odpowiednimi narzędziami i podejściem, mogą one skutecznie zabezpieczyć swoje środowiska danych i dostosować się do nowych wymagań bezpieczeństwa cybernetycznego.
Tyle na dziś! Nie wiesz czy spełniasz wymagania pod NIS2? Mamy coś dla Ciebie:
