Oglądane treści są dostosowane dla Polska. Zobacz treści dla Stany Zjednoczone | Wybierz inny kraj

NIS 2 Aby ustanowić standard cyberbezpieczeństwa w Unii Europejskiej, firmy z różnych sektorów muszą przedstawić dowody swojej strategii bezpieczeństwa. Odliczanie trwa, nadszedł czas na wspólne przygotowania!

Globus z blokadą bezpieczeństwa

Od 18 października 2024 r. obowiązuje nowa dyrektywa UE w sprawie cyberbezpieczeństwa – NIS 2. To wiążące rozporządzenie wyznacza standardy cyberbezpieczeństwa w całej Unii Europejskiej i zmusza firmy z różnych sektorów do udokumentowania swojej strategii bezpieczeństwa.

Firmy są zobowiązane do działania.

Czym jest NIS 2?

Dyrektywa NIS 2 (bezpieczeństwo sieci i IT) uchwalona przez UE wprowadziła surowe przepisy dotyczące cyberbezpieczeństwa dla swoich państw członkowskich. NIS 2 jest następcą dyrektywy NIS, która weszła w życie w 2016 roku. Wdrożenie kompleksowej strategii bezpieczeństwa jest więc już nie tylko niezbędne do ochrony przed cyberatakami, ale jest również wymagane przez prawo.

Państwa członkowskie musiały przyjąć niezbędne środki w celu zapewnienia zgodności z dyrektywą NIS 2 do dnia 17 października 2024 r. i muszą stosować je od 18 października 2024 r.

Różnice między NIS 1 i NIS 2

Czym różni się NIS 1 od NIS 2?

NIS 2 to ulepszona wersja dyrektywy NIS z 2016 roku, która miała już zapewnić wysoki poziom bezpieczeństwa sieci i systemów informatycznych w Unii, ale miała pewne słabe punkty.

Najważniejsze różnice między NIS 1 i NIS 2:

  • Nowa wersja obejmuje więcej sektorów i firm, które są niezbędne dla społeczeństwa i gospodarki, takich jak energetyka, opieka zdrowotna, transport i infrastruktura cyfrowa.

  • NIS 2 wymaga od firm i organizacji skutecznego zarządzania ryzykiem i zgłaszania poważnych lub znaczących incydentów cybernetycznych właściwym organom krajowym, które mogą następnie podjąć niezbędne środki. NIS 1 zawierał jedynie ogólne wytyczne dotyczące środków bezpieczeństwa i zgłaszania incydentów.

  • Nowa dyrektywa w sprawie bezpieczeństwa przewiduje surowsze sankcje dla państw członkowskich, które mogą wynieść do 20 milionów euro lub cztery procent globalnego obrotu, jeśli firmy i organizacje nie wdrożą niezbędnych środków bezpieczeństwa lub nie zgłoszą poważnych lub znaczących incydentów cybernetycznych właściwym organom krajowym. NIS 1 pozostawił określenie sankcji państwom członkowskim, co doprowadziło do ich niespójnego stosowania.

  • NIS 2 kładzie nacisk na osobistą odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo i przewiduje, że po raz pierwszy prezesi zarządu odpowiadają swoim majątkiem osobistym, jeśli nie spełnią wymogów prawnych.

Grupa docelowa NIS 2

Kogo to dotyczy?

Które firmy są zobowiązane do wdrożenia dyrektywy NIS 2?

Kluczowe organizacje: Są to organizacje działające w obszarze infrastruktury krytycznej. Należą do nich na przykład energetyka, transport, gospodarka wodna, opieka zdrowotna i bankowość.

Ważne organizacje: Kategoria ta obejmuje wiodące firmy z branży spożywczej i chemicznej, a także firmy odpowiedzialne za produkcję urządzeń elektrycznych, maszyn i pojazdów.

Ponadto same państwa członkowskie mają możliwość rozszerzenia grup docelowych objętych NIS 2. Mogą one dodać dodatkowe organizacje do swoich krajowych list, zobowiązując władze lokalne, instytucje edukacyjne i inne do wdrożenia wytycznych.

Przypomnienie dot. NIS 2

Jakie są kary?

Dyrektywa NIS 2 jest ściśle egzekwowana, w tym nakładane są wysokie kary finansowe za nieprzestrzeganie lub niewypełnianie obowiązków sprawozdawczych. Wysokość kar zależy od kategorii poszczególnych przedsiębiorstw.

Firmy sklasyfikowane jako „ważne” muszą zapłacić kary finansowe w wysokości od 7 milionów euro lub maksymalnie 1,4% ich całkowitego rocznego obrotu w poprzednim roku obrotowym. „Przedsiębiorstwom kluczowym” grożą kary w wysokości do 10 milionów euro lub maksymalnie 2% ich całkowitego globalnego rocznego obrotu.

Należyta staranność w obszarze cyberbezpieczeństwa nie podlega negocjacjom, a kierownictwo najwyższego szczebla ma obowiązek kierować wdrażaniem i monitorowaniem tych środków cyberbezpieczeństwa.

Co to oznacza konkretnie dla Ciebie?

NIS 2 to dyrektywa UE, która weszła w życie 16 stycznia 2023 r. i ma na celu poprawę bezpieczeństwa cybernetycznego i odporności infrastruktury krytycznej oraz dostawców usług cyfrowych. Dyrektywa wymaga od firm i organizacji przestrzegania skutecznego zarządzania ryzykiem i zgłaszania poważnych lub znaczących incydentów cybernetycznych właściwym organom krajowym, które mogą następnie podjąć niezbędne środki. Aby zminimalizować potencjalne szkody dla użytkowników, środowiska i porządku publicznego, celem jest zidentyfikowanie luk w zabezpieczeniach na wczesnym etapie i podjęcie działań zapobiegawczych. Aby zapewnić, że wszystkie strony przestrzegają tych samych wysokich standardów, firmy są również odpowiedzialne za zapewnienie bezpieczeństwa całego łańcucha dostaw i przekazanie wymagań swoim partnerom biznesowym i dostawcom. Inne środki obejmują między innymi:

  • Wdrożenie odpowiednich i proporcjonalnych środków bezpieczeństwa, które są zgodne z aktualnymi standardami i najlepszymi praktykami w celu zapewnienia poufności, integralności, dostępności i autentyczności danych i usług.

  • Tworzenie i aktualizowanie planu ciągłości działania, który umożliwia przywrócenie normalnych warunków pracy po incydencie cybernetycznym.

  • Aby zapobiec nieautoryzowanemu dostępowi, wprowadzenie uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do ich sieci i systemów informatycznych.

Unijna agencja cyberbezpieczeństwa (ENISA) będzie odgrywać kluczową rolę w monitorowaniu i wspieraniu stosowania tych aktów prawnych.

NIS 2 – Manufacturer‘s obligations
Wszystkie fakty w jednym miejscu
Kompleksowy przewodnik po Cyber Resilience Act

Zamów nasz white paper „Cyber Resilience Act – Przyszłość cyberbezpieczeństwa dla produktów cyfrowych”, który zawiera wszystkie ważne informacje na temat CRA. Dokument zawiera wszystkie kluczowe fakty dotyczące rozporządzenia UE, a także opisuje, w jaki sposób Phoenix Contact spełnia wymagania CRA.

Pobierz teraz white paper
Świat w sieci z blokadą bezpieczeństwa

Harmonogram NIS 2

Dyrektywa NIS 2 weszła w życie 16 stycznia 2023 r. i musiała zostać przetransponowana do prawa krajowego do 17 października 2024 r. Wdrożenie dyrektywy będzie poddawane przeglądowi przez Komisję co 36 miesięcy, począwszy od 17 października 2027 r.

Czas zacząć działać i przygotować się.

Oś czasu NIS 2

Dyrektywa NIS 2 weszła w życie już 16 stycznia 2023 r.

Cykl bezpieczeństwa 360°

Nasza kompleksowa koncepcja bezpieczeństwa 360°

Bezpieczeństwo 360° – nasza kompleksowa oferta bez kompromisów

W dynamicznym świecie cyberbezpieczeństwa zmiany są ciągłe, a wprowadzenie dyrektywy NIS 2 podkreśla ten fakt. Podczas gdy czekamy na pełną transpozycję dyrektywy do prawa krajowego, niezaprzeczalna jest pilna potrzeba podjęcia działań.

Aby spełnić surowe wymagania NIS 2, musimy polegać na europejskich i międzynarodowych standardach, które stanowią nasz fundament. Normy te nie tylko definiują bezpieczne produkty, ale także określają zasady wdrażania solidnych systemów bezpieczeństwa. Jednym z wybitnych przykładów jest IEC 62443, uznana na całym świecie seria norm dotyczących bezpieczeństwa w automatyce. Nasza kompleksowa koncepcja bezpieczeństwa 360° obejmuje zarówno środki techniczne, jak i organizacyjne, które są poparte odpowiednimi certyfikatami IEC 62443.