NIS2 – od kiedy?
Dyrektywa NIS2 z 2023 roku ma za zadanie poprawić poziom cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Tym samym wymusza na wybranych organizacjach wprowadzenie szeregu nowych rozwiązań.
Ważne! Od 16 stycznia 2023 r. państwa członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy NIS2 do prawa krajowego. Nowe przepisy mają być zaimplementowane we wszystkich krajach Unii Europejskiej do 18 października 2024 r.
2. Jakie zmiany wprowadzi NIS2?
Zgodnie z informacjami udostępnionymi przez NASK (Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy) kluczowe zmiany wprowadzone dyrektywą NIS2 mają dotyczyć poniższych obszarów. • Na podmioty, których dotyczy Dyrektywa NIS2, będą nałożone zwiększone wymagania w obszarach: zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz wykorzystywaniu szyfrowania w praktyce. • Dyrektywa precyzuje zapisy dotyczące raportowania incydentów. • NIS2 wprowadza odpowiedzialność zarządu firm za zgodność ze środkami zarządzania ryzykiem. • Zostają wprowadzone nowe mechanizmy współpracy międzynarodowej, przede wszystkim w ramach Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni. • Dyrektywa ma wzmocnić Europejską Agencję ds. Cyberbezpieczeństwa.
NIS 2 – kogo dotyczy dyrektywa i w jakim zakresie?
NIS2 będzie dotyczył podmiotów kluczowych i ważnych, które działają w sektorach wyszczególnionych w dyrektywie. Warto zapoznać się z pełną treścią aktu prawnego (dyrektywa NIS2 PDF jest dostępna do pobrania w sieci, można również przeczytać ją na stronie. To ważne, aby upewnić się, czy Państwa organizacja również będzie zobowiązania do wprowadzenia zmian. Najważniejszą informacją jest to, że NIS2 obejmuje dwa typy podmiotów: kluczowe (essential entities) i istotne/ważne (important entities). Dotyczy to firm z sektorów wymienionych w załącznikach, które są średnimi lub większymi od średnich przedsiębiorstwami. NIS2 rozszerza zakres dyrektywy NIS1 m.in. o: • administrację publiczną, • sektor żywności, • ścieki, • przemysł, • zarządzanie odpadami, • przestrzeń kosmiczną. Niektóre obszary z dotychczasowej dyrektywy zostały też potraktowane szerzej. Na podmioty kluczowe i ważne nałożono takie same wymogi – nie ma pomiędzy nimi różnic. Natomiast wytyczne mają być wdrażane proporcjonalnie do specyfiki i wielkości danego podmiotu.
Odpowiedzialność karna zarządów
Co ważne dla zarządów firm, to właśnie na nich ciąży obowiązek wdrożenia wymogów NIS2. Jeśli nie dopełnią tego wymogu, czeka na nie szereg konsekwencji karnych. Odpowiednie organy państwowe będą miały do dyspozycji instrumenty służące do egzekwowania przepisów. W założeniu mają być one skuteczne, proporcjonalne do przewinienia, odstraszające i nakładane z uwzględnieniem indywidualnej sytuacji. Zgodnie z deklaracją NASK: osoba fizyczna, która jest odpowiedzialna za podmiot kluczowy lub ważny, będzie mogła zostać pociągnięta do odpowiedzialności za niedopełnienie obowiązku przestrzegania dyrektywy NIS2.
Na jakie kary można się narazić?
Jeśli środki egzekwowania prawa będą nieskuteczne, zostanie ustalony termin na usunięcie uchybień lub zapewnienie zgodności. Jeśli to także nie przyniesie rezultatu, organy państwowe mogą: • tymczasowo zawiesić certyfikat lub zezwolenie na niektóre lub wszystkie usługi świadczone przez podmiot kluczowy, • nałożyć tymczasowy zakaz pełnienia funkcji zarządczych w podmiocie kluczowym na osobę fizyczną wykonującą obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego. Ponadto w przepisach zostały przewidziane administracyjne kary pieniężne, które będą nakładane w trybie określonym w Kodeksie postępowania administracyjnego. Sposób ich naliczania będzie zależał od konkretnej sytuacji.
Podmioty kluczowe za złamanie zasad zarządzania ryzykiem lub zgłaszania incydentów, mogą zapłacić kary administracyjne nawet do 10 mln euro lub 2% łącznego rocznego obrotu. Podmioty ważne mogą natomiast zostać ukarane karą w wysokości 7 mln euro lub 1,4% łącznego rocznego obrotu.
Czy warto stawiać na własne kompetencje czy outsourcing?
Samodzielnie wdrożenie wymogów dyrektywy NIS2 w organizacji może być sporym wyzwaniem. Aby mieć pewność, że spełnia się wszystkie obowiązkowe warunki, warto korzystać ze wsparcia ekspertów. EXEA zapewnia firmom opiekę zespołu doświadczonych analityków i inżynierów, którzy w trybie ciągłym zajmują się monitorowaniem zagrożeń cyberbezpieczeństwa. Szybka reakcja na takie incydenty jest niezbędna dla zapewnienia bezpieczeństwa. Zachęcamy do kontaktu, aby poznać szczegóły.
Cykliczne szkolenia pracowników
Jednym z wymogów NIS2 jest przeprowadzanie szkoleń dla pracowników. Należy je zapewnić głównie dla kadry menadżerskiej, ale również dla zwykłych pracowników – w zależności od tego, jaka część ich obowiązków jest związana z obsługą systemów teleinformatycznych. Popularną metodą szkoleniową jest m.in. symulacja rzeczywistego ataku phishingowego oraz wskazanie metod działania w takiej sytuacji. Szkolenia mają również na celu budowanie świadomości i kompetencji w zakresie bezpieczeństwa, zrozumienia i prawidłowej implementacji wymagań dyrektywy NIS2 w organizacji.
Czy Państwa organizacja jest gotowa na wejście w życie dyrektywy NIS 2?
W związku z nadchodzącymi wymaganiami dyrektywy NIS 2, przesyłamy listę pytań dotyczących obecnych praktyk i gotowości Państwa organizacji w zakresie cyberbezpieczeństwa. Poniższe pytania, pozwolą Państwu ocenić, na jakim etapie znajduje się Państwa organizacja w kontekście spełnienia wymagań tej dyrektywy.
1. Gotowość na dyrektywę NIS 2:
Czy Państwa organizacja jest przygotowana na wdrożenie wytycznych dyrektywy NIS 2 do dnia 18 października 2024 r., która zobliguje do zwiększenia ochrony zasobów informatycznych?
2. Osoba odpowiedzialna za cyberbezpieczeństwo:
Czy w Państwa organizacji została wyznaczona osoba odpowiedzialna za cyberbezpieczeństwo oraz za wprowadzenie zmian mających na celu spełnienie wymagań opisanych w dyrektywie NIS 2?
3. Polityki bezpieczeństwa cybernetycznego:
Czy w Państwa organizacji stworzony został program bezpieczeństwa cybernetycznego, czy jest on znany wszystkim pracownikom oraz czy jest systematycznie aktualizowany?
4. Diagnoza obszarów objętych monitoringiem:
Czy w Państwa organizacji zostały poprawnie zdiagnozowane obszary, które powinny być objęte monitoringiem bezpieczeństwa cyfrowego? Czy kluczowe obszary informatyczne są objęte całodobowym monitoringiem bezpieczeństwa?
5. Zespół ds. analizy bezpieczeństwa i raportowania incydentów:
Czy posiadają Państwo zespół odpowiedzialny za bieżącą analizę bezpieczeństwa, opisywanie incydentów (naruszeń w zakresie cyberbezpieczeństwa) oraz raportowanie ich do wyznaczonej instytucji nadrzędnej?
6. Plan awaryjny:
Czy Państwa organizacja wdrożyła i na bieżąco aktualizuje plan awaryjny zawierający różne scenariusze wystąpienia incydentów, takich jak wyciek danych lub zaszyfrowanie infrastruktury informatycznej, które mogłyby spowodować niedostępność zasobów informatycznych lub brak dostępu do danych?
7. Stress Testy:
Czy wykonujecie Państwo regularnie testy przeciążające pozwalające ocenić, czy oprogramowanie działa w sposób zadowalający w niekorzystnych lub ekstremalnych warunkach, np. podczas dużego ruchu w sieci, dużej liczbie uruchomionych procesów, na nieodpowiednim sprzęcie oraz przy żądaniach maksymalnego wykorzystania zasobów?
8. Kopie bezpieczeństwa:
Czy w Państwa organizacji wykonywane są systematyczne kopie bezpieczeństwa, które przesyłane są do zewnętrznej lokalizacji (np. oddzielonej geolokalizacyjnie)?
9. Zapasowe zasoby informatyczne:
Czy posiadacie Państwo zapasowe zasoby informatyczne poza organizacją (np. w innym ośrodku) w celu ich wykorzystania podczas wystąpienia awarii infrastruktury podstawowej?
10. Weryfikacja kopii bezpieczeństwa:
Czy w Państwa organizacji przeprowadzane są systematyczne odtworzenia kopii bezpieczeństwa w celu zweryfikowania ich przydatności w momencie wystąpienia incydentu bezpieczeństwa?
11. Szkolenia w zakresie cyberbezpieczeństwa:
Jak często przeprowadzane są regularne szkolenia w zakresie cyberbezpieczeństwa dla wszystkich pracowników i kadry zarządzającej w Państwa organizacji? Jak często tą wiedzę weryfikujecie Państwo oficjalnymi testami wiedzy oraz testami socjotechnicznymi wśród pracowników?
