Czym różni się dyrektywa NIS od NIS2?
Temat dyrektywy NIS2 będzie przez nas poruszany tak długo, jak będziecie tego potrzebować – a wiemy, że zapotrzebowanie jest nadal spore. Nie byłoby jednak dyrektywy NIS2, gdyby nie dyrektywa NIS. W dzisiejszym artykule przybliżymy pojęcia NIS i NIS2, a konkluzją będzie wyjaśnienie różnic pomiędzy tymi dyrektywami.
Co to jest dyrektywa NIS?
Można powiedzieć, że dyrektywa NIS jest pionierką w ujednoliceniu zasad związanych z bezpieczeństwem w Sieci. To bowiem pierwszy taki dokument w zakresie cyberbezpieczeństwa, który ma moc prawną w obrębie całej Unii Europejskiej. Dyrektywa NIS została przyjęta 6 lipca 2016 r. W Polsce jej zapisy realizuje ustawa o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku.
Uchwalenie dyrektywy NIS było efektem dynamicznego rozwoju technologii, a tym samym – cyfryzacji praktycznie każdej (w mniejszym czy większym stopniu) gałęzi biznesu. Jej celem było ujednolicenie zasad dotyczących cyberbezpieczeństwa w krajach członkowskich.
Dyrektywa NIS reguluje trzy obszary, tzw. filary:
- Pierwszy filar – opiera się na utworzeniu w każdym kraju członkowskim instytucji odpowiedzialnych za bezpieczeństwo cyfrowe, tzw. CSIRT (ang. Computer Security Incident Response Team).
- Drugi filar – określa zasady współpracy na poziomie technicznym, strategicznym i politycznym, a za tę kwestię odpowiada Cooperation Group oraz sieć CSIRT.
- Trzeci filar – mówi o utworzeniu strategii dotyczącej cyberbezpieczeństwa, która zawiera informacje o m.in. sposobie reagowania na incydenty czy obowiązku wdrożenia odpowiednich systemów zabezpieczających.
Czym z kolei jest dyrektywa NIS2?
NIS2 to nowelizacja istniejącej dyrektywy NIS. Nowe prawo wchodzi w życie 18 października 2024 roku.
Uchwalenie dyrektywy NIS2 było efektem wybuchu pandemii COVID-19, która niejako zmusiła przedsiębiorców do cyfryzacji swoich organizacji pod wieloma kątami. Ponadto dyrektywa NIS2 zachęca wyżej wymienione instytucje do konsekwentnego nakładania kar na przedsiębiorstwa, które nie przestrzegają zasad dyrektywy NIS.
Różnice między dyrektywą NIS a NIS2
Widoczne są znaczne różnice w funkcjonowaniu obydwóch dyrektyw. Mówiąc najkrócej – NIS2 to rozszerzenie NIS. Jak to wygląda w praktyce?
1.Zakres działania. Dyrektywa NIS mówi o krytycznej infrastrukturze informacyjnej i zabezpieczeniach sieci i systemów informatycznych. To właśnie również w tym miejscu mowa o utworzeniu instytucji CSIRT. Dyrektywa NIS2 poszerza definicję krytycznej infrastruktury informacyjnej o tę opartą na danych oraz o krytyczną infrastrukturę sektorów.
2. Odbiorcy. Dyrektywa NIS dotyczy sektorów kluczowych, takich jak energetyka, transport, finanse czy zdrowie oraz dostawców usług cyfrowych. Dyrektywa NIS2 rozszerza te sektory – nie obejmuje tylko podmiotów kluczowych, ale też ważne, np. produkcja czy gospodarka odpadami. Więcej na temat podmiotów ważnych i kluczowych przeczytasz w tym artykule.
3. Bezpieczeństwo. NIS skupia się na dostarczeniu odpowiednich środków bezpieczeństwa i procedur zapobiegania incydentom. Z kolei w NIS2 chodzi nie tylko o zapobieganie, ale także na gotowości do reagowania na incydenty oraz na zmniejszaniu ich konsekwencji.
4. Raportowanie. Dyrektywa NIS wymaga raportowania poważnych incydentów naruszających bezpieczeństwo. Z kolei NIS2 wprowadza kolejne, bardziej szczegółowe wymogi raportowania, biorąc pod uwagę infrastrukturę krytyczną.
5. Monitorowanie i egzekwowanie przepisów. Dyrektywa NIS wymaga monitoringu i współpracy pomiędzy państwami członkowskimi. Dyrektywa NIS2 z kolei rozszerza zakres owego monitoringu i zasad tejże współpracy.
Jak ITPunkt może Ci pomóc w tym temacie?
Jako specjaliści w dziedzinie audytów IT i cyberbezpieczeństwa oferujemy kompleksowe usługi audytowe, które obejmują:
- Przegląd aktualnych procedur bezpieczeństwa: sprawdzimy, czy Twoje systemy IT i OT spełniają nowe standardy.
- Przygotowanie dokumentacji: pomożemy w tworzeniu i aktualizacji niezbędnej dokumentacji zgodnej z wymogami NIS2.
- Szkolenia i doradztwo: przeprowadzimy szkolenia dla Twojego zespołu, aby zwiększyć świadomość na temat cyberbezpieczeństwa i zapewnić odpowiednie przygotowanie na potencjalne incydenty.
Z NIS2 nie ma miejsca na kompromisy w kwestii bezpieczeństwa. Skontaktuj się z nami, aby dowiedzieć się, jak możemy pomóc Twojej firmie sprostać nowym wyzwaniom i zapewnić bezpieczne funkcjonowanie w cyfrowym świecie. Razem zadbamy o Twoje bezpieczeństwo!