cyberbezpieczeństwo
cybersecurity
dyrektywa NIS2
11 października 2024
Time 7 minut czytania

Dyrektywa NIS2 – sprawdź, czy jesteś na nią przygotowany!

Wielu przedsiębiorców wciąż nie ma pewności, czy Dyrektywa NIS2 dotyczy również ich firmy. Pomożemy Wam to ustalić i wskażemy, co powinniście uwzględnić przy wdrażaniu zmian podnoszących bezpieczeństwo firmy.

Dyrektywa NIS2 egzekwuje nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która wdrożyła do polskiego systemu prawnego Dyrektywę NIS (Network and Information Systems Directive) z 2016 roku. Wprowadza ona dodatkowe kryteria kwalifikujące firmy, jako podmioty kluczowe, ważne i krytyczne (wyznaczone przez państwo, które prawdopodobnie zostaną wymienione w końcowej wersji ustawy) oraz o nowe wymagania dotyczące tych podmiotów.

Firmy objęte Dyrektywą NIS2 będą zobowiązane do wdrożenia odpowiednich
i proporcjonalnych środków technicznych, operacyjnych oraz organizacyjnych, mających na celu zwiększenie bezpieczeństwa firmy, jej partnerów biznesowych i klientów. Podmioty kluczowe i ważne będą również miały obowiązek bezzwłocznego zgłaszania poważnych incydentów cyberbezpieczeństwa, które wystąpią w ich środowisku IT, w ciągu 24 godzin.

Czy moja firma jest objęta dyrektywą NIS2?
Zidentyfikuj z nami swój biznes.

Aby ustalić, czy musisz przygotowywać się na spełnienie wymogów nadchodzącej dyrektywy NIS2 odpowiedz sobie na poniższe pytania:

1. Czy Twój podmiot świadczy usługi lub prowadzi działalność na terenie Unii Europejskiej?

Odpowiedź: Nie – ustawa NIS2 nie dotyczy Twojej firmy

Odpowiedź: Tak – przejdź do pytania 2

2. Czy prowadzona przez Ciebie działalność obejmuje co najmniej jedną z poniższych dziedzin?
  • Dostawca usług DNS
  • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
  • Kwalifikowany dostawca usług zaufania
  • Podmiot publiczny
  • Rejestr nazw domen najwyższego poziomu (TLD)

Odpowiedź: Nie – przejdź do pytania 3

Odpowiedź: Tak – Twoja firma może być objęta dyrektywą NIS2 jako podmiot kluczowy, skontaktuj się z nami, aby to potwierdzić

3. Czy prowadzona działalność obejmuje co najmniej jeden z poniższych sektorów?
  • Energia
  • Transport
  • Bankowość
  • Infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Woda pitna
  • Ścieki
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT (B2B)
  • Administracja publiczna
  • Przestrzeń kosmiczna
  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, wytwarzanie i dystrybucja żywności
  • Dostawca usług cyfrowych
  • Badania naukowe
  • Produkcja: wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń, przyczep i naczep, sprzętu transportowego

Odpowiedź: Nie – ustawa NIS2 nie dotyczy Twojej firmy

Odpowiedź: Tak – przejdź do pytania 4

4. Podmiot zatrudnia 50 pracowników (lub więcej) i roczny obrót lub roczna suma bilansowa przekracza 10 mln euro ?

Odpowiedź: Nie – ustawa NIS2 nie dotyczy Twojej firmy

Odpowiedź: Tak – Twoja firma może być objętą dyrektywą NIS2 jako podmiot kluczowy lub ważny, skontaktuj się z nami, aby potwierdzić

Nis2
Czy jesteś gotowy na nowe zasady NIS2?
Opracuj strategię zarządzania ryzykiem w Twojej firmie
  • Przeprowadź ocenę ryzyka: Przeanalizuj i zidentyfikuj najważniejsze zagrożenia cybernetyczne, które mogą wpłynąć na Twoją firmę. Są to m.in. ransomware, złośliwe oprogramowania, wiadomości phishingowe i smishingowe, dezinformacja rozpowszechniona przez AI, ataki na usługodawcę w celu uzyskania dostępu do danych klientów.
  • Wdrożenie środków zarządzania ryzykiem: Opracuj i zaktualizuj środki kontroli ryzyka, w tym zabezpieczenia techniczne i organizacyjne.
  • Tworzenie planów reakcji na incydenty: Przygotuj szczegółowy plan działania w przypadku incydentów, obejmujący procedury zgłaszania i minimalizacji skutków.
Zabezpiecz i usprawnij swoją infrastrukturę IT
  • Zabezpieczenie infrastruktury krytycznej: Skup się na ochronie systemów, które są niezbędne do świadczenia kluczowych usług.
  • Implementacja rozwiązań monitorujących: Zapewnij firmie usługę zaawansowanych systemów monitorowania (Aurora Infrastructure), które pozwolą na szybką identyfikację i reakcję na zagrożenia.
  • Wdrażanie szyfrowania i backupów: Upewnij się, że sprzęt, na którym przechowujesz dane krytyczne, zapewnia twojej firmie niezawodne szyfrowanie danych oraz wykonywanie kopii zapasowych kluczowych zasobów, w szczególności w momencie wykrycia nieautoryzowanych działań w systemie.
Zorganizuj szkolenia dla pracowników z zakresu cyberbezpieczeństwa
  • Poinformuj swój dział HR o potrzebie przeprowadzenia szkoleń z zakresu cyberbezpieczeństwa: Szkolenia są obowiązkowe dla osób na stanowiskach kierowniczych, zaleca się również aktualizacji wiedzy kadry technicznej, jak i wszystkich pracowników mających dostęp do systemów IT.
  • Zdefiniowanie ról i odpowiedzialności: Jasno określ odpowiedzialności związane z cyberbezpieczeństwem i reagowaniem na incydenty w firmie.
  • Symulacje ataków i ćwiczenia z reagowania: Regularnie przeprowadzaj ćwiczenia związane z symulowanymi atakami, aby sprawdzić gotowość organizacji do działania i sprawdzić skuteczność szkoleń z zakresu cyberbezpieczeństwa. W przypadku, gdy pracownik padnie ofiarą “ataku”, powinien zostać zobowiązany do odbycia kolejnego szkolenia.
Opracuj procedury zgłaszania incydentów
  • Ustal wewnętrzne procedury raportowania incydentów: Opracuj procesy, które pozwolą szybko zgłaszać incydenty wewnątrz firmy.
  • Zgłaszanie poważnych incydentów do organów nadzorczych: Przygotuj kanały komunikacyjne do raportowania poważnych incydentów do odpowiedniego CSIRT/właściwego organu, zgodnie z wymogami NIS2, bezzwłocznie w ciągu 24 godzin od wykrycia problemu.

    Poważny incydent to taki, który spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu oraz taki, który wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Ustal współpracę z partnerami i dostawcami w kontekście zasad NIS2
  • Ocena cyberbezpieczeństwa dostawców: Sprawdź, czy dostawcy i partnerzy spełniają standardy bezpieczeństwa zgodne z NIS2.
  • Zawarcie umów dotyczących zgodności: Ustal zasady odpowiedzialności za naruszenia cyberbezpieczeństwa na poziomie umów z dostawcami.
  • Wymiana informacji z zewnętrznymi partnerami: Opracuj procedury wymiany informacji o zagrożeniach i incydentach z partnerami biznesowymi i sektorem publicznym.
Zadbaj o ciągłe monitorowanie i aktualizację procedur
  • Regularne audyty bezpieczeństwa: Organizuj audyty wewnętrzne i zewnętrzne, aby na bieżąco oceniać zgodność z NIS2.
  • Aktualizacja strategii i polityk: Regularnie przeglądaj i zaktualizuj polityki oraz strategie w odpowiedzi na zmieniające się zagrożenia cybernetyczne.
  • Śledzenie zmian w przepisach i technologii: Bądź na bieżąco z najnowszymi regulacjami prawnymi oraz technologicznymi nowościami w zakresie cyberbezpieczeństwa. Szukaj informacji na sprawdzonych stronach rządowych: NASK i biznes.gov.pl.
Znajdź miejsce w swoim budżecie na wprowadzenie istotnych dla firmy zmian
  • Przeznaczenie budżetu na cyberbezpieczeństwo: Zarezerwuj odpowiednie środki finansowe na technologie i usługi profesjonalistów podnoszące cyberbezpieczeństwo, zasoby ludzkie i szkolenia związane z wdrożeniem NIS2. 
security
Miej pewność, że NIS2 nie zaskoczy Twojej firmy!
Administracyjne kary pieniężne za nieprzestrzeganie NIS2

W Polsce za niewywiązanie się z obowiązków związanych z wejściem w życie dyrektywy NIS2 będą nakładane administracyjne kary pieniężne: 10 mln euro lub co najmniej 2% rocznego światowego obrotu na podmioty kluczowe i 7 mln euro lub co najmniej 1,4% rocznego światowego obrotu na podmioty ważne.

Profesjonalne wsparcie we wdrażaniu wymagań dyrektywy NIS2

Jeśli zidentyfikowałeś swoją firmę jako potencjalnie objętą dyrektywą NIS2, skontaktuj się z naszym ekspertem: wojciech.hoszek@itpunkt.pl

Nowe regulacje prawne potrafią być zawiłe i dlatego warto zwrócić się do profesjonalistów, którzy wskażą Ci, na co jeszcze zwrócić uwagę w kontekście nowych zasad NIS2. ITPunkt oferuje kompleksowe wsparcie na każdym etapie wdrożenia dyrektywy, dbając o to, aby wszystkie wymagania obowiązujące Twoją firmę zostały spełnione. Przeprowadzamy audyty zgodności z NIS2 oraz dostarczamy odpowiedni sprzęt i rozwiązania, które zapewniają wysoki poziom cyberbezpieczeństwa w przedsiębiorstwach.

Więcej informacji o wsparciu ITPunkt w zakresie NIS2 znajdziesz na stronie: www.itpunkt.pl/nis-2

Przeczytaj również

Image
Artykuły eksperckie
Czym różni się dyrektywa NIS od NIS2? 

Temat dyrektywy NIS2 będzie przez nas poruszany tak długo, jak będziecie tego potrzebować – a…

cyberbezpieczeństwo
cybersecurity
NIS
nis2
14 sierpnia 2024
Image
Artykuły eksperckie
Dyrektywa NIS2: klucz do sukcesu to jasno określony plan

Dyrektywa NIS2 to temat wciąż żywy, pojawiający się w wielu branżowych dyskusjach. Aby jeszcze bardziej…

cyberbezpieczeństwo
cybersecurity
dyrektywa NIS2
nis2
16 lipca 2024
Image
Artykuły eksperckie
Nowelizacja dyrektywy NIS2. Przygotuj się na zmiany, przedsiębiorco! [przewodnik]

Dyrektywa NIS została przyjęta przez Parlament Europejski w 2018 roku. Dotyczyła zwiększenia cyberbezpieczeństwa w różnych…

cyberbezpieczeństwo
cybersecurity
dyrektywa
nis2
UE
19 lutego 2024

Porozmawiajmy

Szukasz bezpiecznych rozwiązań dla swojej firmy?
Skontaktuj się z nami.

Kontakt
image