NIS 2 Aby ustanowić standard cyberbezpieczeństwa w Unii Europejskiej, firmy z różnych sektorów muszą przedstawić dowody swojej strategii bezpieczeństwa. Odliczanie trwa, nadszedł czas na wspólne przygotowania!
Od 18 października 2024 r. obowiązuje nowa dyrektywa UE w sprawie cyberbezpieczeństwa – NIS 2. To wiążące rozporządzenie wyznacza standardy cyberbezpieczeństwa w całej Unii Europejskiej i zmusza firmy z różnych sektorów do udokumentowania swojej strategii bezpieczeństwa.
Firmy są zobowiązane do działania.
Czym jest NIS 2?
Dyrektywa NIS 2 (bezpieczeństwo sieci i IT) uchwalona przez UE wprowadziła surowe przepisy dotyczące cyberbezpieczeństwa dla swoich państw członkowskich. NIS 2 jest następcą dyrektywy NIS, która weszła w życie w 2016 roku. Wdrożenie kompleksowej strategii bezpieczeństwa jest więc już nie tylko niezbędne do ochrony przed cyberatakami, ale jest również wymagane przez prawo.
Państwa członkowskie musiały przyjąć niezbędne środki w celu zapewnienia zgodności z dyrektywą NIS 2 do dnia 17 października 2024 r. i muszą stosować je od 18 października 2024 r.
Czym różni się NIS 1 od NIS 2?
NIS 2 to ulepszona wersja dyrektywy NIS z 2016 roku, która miała już zapewnić wysoki poziom bezpieczeństwa sieci i systemów informatycznych w Unii, ale miała pewne słabe punkty.
Najważniejsze różnice między NIS 1 i NIS 2:
-
Nowa wersja obejmuje więcej sektorów i firm, które są niezbędne dla społeczeństwa i gospodarki, takich jak energetyka, opieka zdrowotna, transport i infrastruktura cyfrowa.
-
NIS 2 wymaga od firm i organizacji skutecznego zarządzania ryzykiem i zgłaszania poważnych lub znaczących incydentów cybernetycznych właściwym organom krajowym, które mogą następnie podjąć niezbędne środki. NIS 1 zawierał jedynie ogólne wytyczne dotyczące środków bezpieczeństwa i zgłaszania incydentów.
-
Nowa dyrektywa w sprawie bezpieczeństwa przewiduje surowsze sankcje dla państw członkowskich, które mogą wynieść do 20 milionów euro lub cztery procent globalnego obrotu, jeśli firmy i organizacje nie wdrożą niezbędnych środków bezpieczeństwa lub nie zgłoszą poważnych lub znaczących incydentów cybernetycznych właściwym organom krajowym. NIS 1 pozostawił określenie sankcji państwom członkowskim, co doprowadziło do ich niespójnego stosowania.
-
NIS 2 kładzie nacisk na osobistą odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo i przewiduje, że po raz pierwszy prezesi zarządu odpowiadają swoim majątkiem osobistym, jeśli nie spełnią wymogów prawnych.
Kogo to dotyczy?
Które firmy są zobowiązane do wdrożenia dyrektywy NIS 2?
Kluczowe organizacje: Są to organizacje działające w obszarze infrastruktury krytycznej. Należą do nich na przykład energetyka, transport, gospodarka wodna, opieka zdrowotna i bankowość.
Ważne organizacje: Kategoria ta obejmuje wiodące firmy z branży spożywczej i chemicznej, a także firmy odpowiedzialne za produkcję urządzeń elektrycznych, maszyn i pojazdów.
Ponadto same państwa członkowskie mają możliwość rozszerzenia grup docelowych objętych NIS 2. Mogą one dodać dodatkowe organizacje do swoich krajowych list, zobowiązując władze lokalne, instytucje edukacyjne i inne do wdrożenia wytycznych.
Jakie są kary?
Dyrektywa NIS 2 jest ściśle egzekwowana, w tym nakładane są wysokie kary finansowe za nieprzestrzeganie lub niewypełnianie obowiązków sprawozdawczych. Wysokość kar zależy od kategorii poszczególnych przedsiębiorstw.
Firmy sklasyfikowane jako „ważne” muszą zapłacić kary finansowe w wysokości od 7 milionów euro lub maksymalnie 1,4% ich całkowitego rocznego obrotu w poprzednim roku obrotowym. „Przedsiębiorstwom kluczowym” grożą kary w wysokości do 10 milionów euro lub maksymalnie 2% ich całkowitego globalnego rocznego obrotu.
Należyta staranność w obszarze cyberbezpieczeństwa nie podlega negocjacjom, a kierownictwo najwyższego szczebla ma obowiązek kierować wdrażaniem i monitorowaniem tych środków cyberbezpieczeństwa.
Co to oznacza konkretnie dla Ciebie?
NIS 2 to dyrektywa UE, która weszła w życie 16 stycznia 2023 r. i ma na celu poprawę bezpieczeństwa cybernetycznego i odporności infrastruktury krytycznej oraz dostawców usług cyfrowych. Dyrektywa wymaga od firm i organizacji przestrzegania skutecznego zarządzania ryzykiem i zgłaszania poważnych lub znaczących incydentów cybernetycznych właściwym organom krajowym, które mogą następnie podjąć niezbędne środki. Aby zminimalizować potencjalne szkody dla użytkowników, środowiska i porządku publicznego, celem jest zidentyfikowanie luk w zabezpieczeniach na wczesnym etapie i podjęcie działań zapobiegawczych. Aby zapewnić, że wszystkie strony przestrzegają tych samych wysokich standardów, firmy są również odpowiedzialne za zapewnienie bezpieczeństwa całego łańcucha dostaw i przekazanie wymagań swoim partnerom biznesowym i dostawcom. Inne środki obejmują między innymi:
-
Wdrożenie odpowiednich i proporcjonalnych środków bezpieczeństwa, które są zgodne z aktualnymi standardami i najlepszymi praktykami w celu zapewnienia poufności, integralności, dostępności i autentyczności danych i usług.
-
Tworzenie i aktualizowanie planu ciągłości działania, który umożliwia przywrócenie normalnych warunków pracy po incydencie cybernetycznym.
-
Aby zapobiec nieautoryzowanemu dostępowi, wprowadzenie uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do ich sieci i systemów informatycznych.
Unijna agencja cyberbezpieczeństwa (ENISA) będzie odgrywać kluczową rolę w monitorowaniu i wspieraniu stosowania tych aktów prawnych.
Harmonogram NIS 2
Dyrektywa NIS 2 weszła w życie 16 stycznia 2023 r. i musiała zostać przetransponowana do prawa krajowego do 17 października 2024 r. Wdrożenie dyrektywy będzie poddawane przeglądowi przez Komisję co 36 miesięcy, począwszy od 17 października 2027 r.
Czas zacząć działać i przygotować się.
Dyrektywa NIS 2 weszła w życie już 16 stycznia 2023 r.
Nasza kompleksowa koncepcja bezpieczeństwa 360°
Bezpieczeństwo 360° – nasza kompleksowa oferta bez kompromisów
W dynamicznym świecie cyberbezpieczeństwa zmiany są ciągłe, a wprowadzenie dyrektywy NIS 2 podkreśla ten fakt. Podczas gdy czekamy na pełną transpozycję dyrektywy do prawa krajowego, niezaprzeczalna jest pilna potrzeba podjęcia działań.
Aby spełnić surowe wymagania NIS 2, musimy polegać na europejskich i międzynarodowych standardach, które stanowią nasz fundament. Normy te nie tylko definiują bezpieczne produkty, ale także określają zasady wdrażania solidnych systemów bezpieczeństwa. Jednym z wybitnych przykładów jest IEC 62443, uznana na całym świecie seria norm dotyczących bezpieczeństwa w automatyce. Nasza kompleksowa koncepcja bezpieczeństwa 360° obejmuje zarówno środki techniczne, jak i organizacyjne, które są poparte odpowiednimi certyfikatami IEC 62443.