Person Agata Drozdowska
cyberbezpieczeństwo
dyrektywa NIS2
NIS
25 listopada 2024
Time 5 minut czytania

NIS a NIS2 – istotne zmiany w Dyrektywie

Person Agata Drozdowska

Podczas spotkań z klientami zauważyłam, że pojawia się wiele wątpliwości co do istotnych różnic między NIS a NIS2 oraz konieczności wdrożenia wymagań Dyrektywy NIS2 w ich organizacjach.

Często klienci zastanawiają się, czy już wdrożone zabezpieczenia i procedury (zgodnie z NIS i UoKSC) są wystarczające w odniesieniu do spełnienia wymagań Dyrektywy NIS2. Niejednokrotnie zastanawiają się również, czy warto wdrożyć wymagania i kiedy najlepiej to zrobić, a także czy przeprowadzić to samodzielnie, czy z pomocą specjalistów. Te aspekty omówię w moim kolejnym artykule, dzisiaj skupię się przede wszystkim na znaczących rozpiętościach między obiema Dyrektywami, poprzez krótką analizę ich zakresów i najważniejszych obowiązków.

W pierwszej kolejności uporządkujmy daty przyjęcia i wejścia w życie poszczególnych zmian:
DYREKTYWA NISUSTAWA o KSCDYREKTYWA NIS2
Przyjęta 6 lipca 2016 r.Przyjęta 5 lipca 2018 r.Przyjęta 14 grudnia 2022 r.
Weszła w życie w sierpniu 2016 r.Weszła w życie w sierpniu 2018 r.Weszła w życie w styczniu 2023 r.

Dyrektywa NIS została przyjęta 6 lipca 2016 r. i jest pierwszym uchwalonym przez Parlament Europejski prawem dotyczące cyberbezpieczeństwa, który reguluje kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Jedną z przyczyn powstania Dyrektywy NIS był wzmożony ruch sieciowy i bardzo dynamiczny rozwój wszelkiego rodzaju usług online oraz cyfryzacji wielu sektorów biznesu. Dyrektywa ta nakłada na państwa członkowskie szereg obowiązków i obliguje je do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy, czego efektem jest ujednolicenie poziomu bezpieczeństwa cyfrowego w poszczególnych krajach członkowskich. W Polsce zapisy Dyrektywy NIS realizuje Ustawa o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 roku.

Po uchwaleniu Dyrektywy NIS pojawiły się duże różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty. Biorąc pod uwagę powyższe aspekty, jak również wiele innych czynników takich jak pandemia Covid-19 i związany z tym postęp cyfryzacji, postanowiono przyjąć Dyrektywę NIS2, która jest rewizją istniejącej Dyrektywy NIS.

Przegląd NIS spowodował, że na podmioty objęte Dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w takim zakresie jak zarządzanie, obsługa i ujawnienie luk w zabezpieczeniach, testowanie poziomu cyberbezpieczeństwa oraz efektywne wykorzystywanie szyfrowania.

Jakie są główne różnice między Dyrektywą NIS a NIS2?
  • Informacja o objęciu wymaganiami: Główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.
  • Ściślejszy nadzór: Organy krajowe mają prawo do bardziej rygorystycznego nadzoru i egzekwowania przepisów. Nowa dyrektywa zrównuje systemy kar i wymogi sprawozdawcze we wszystkich państwach członkowskich.
  • Kary: Dyrektywa wprowadza odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie. Wartość kary może sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.
  • Zakres podmiotów: NIS2 rozszerza zakres regulacji na więcej sektorów, w tym administrację publiczną oraz usługi ICT, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną oraz szerzej traktuje niektóre sektory (m.in. rozszerzenie zakresu infrastruktury cyfrowej), co zwiększa liczbę organizacji objętych wymogami.
  • Zarządzanie ryzykiem: NIS2 wprowadza szczegółowe wymagania dotyczące regularnych ocen ryzyka oraz wdrażania środków ochrony, kładąc nacisk na podejście oparte na ryzyku.
  • Raportowanie incydentów: NIS2 zaostrza wymogi dotyczące zgłaszania incydentów, nakładając obowiązek raportowania w ciągu 24 godzin od ich wykrycia.
  • Bezpieczeństwo łańcucha dostaw: NIS2 wprowadza obowiązki związane z zarządzaniem ryzykiem dostawców, co nie było tak wyraźnie określone w NIS.

Dyrektywa NIS2 wprowadza istotne zmiany w porównaniu do NIS, przede wszystkim rozszerzając zakres i wymagania dotyczące cyberbezpieczeństwa. Mam nadzieję, że mój artykuł pomógł zrozumieć różnice miedzy Dyrektywą NIS a Dyrektywą NIS2 oraz liczę, że przedstawione przeze mnie porady pomogą Twojej firmie odnaleźć się w nowej rzeczywistości.

Jak ITPunkt może pomóc w tym wyzwaniu?

Pomagamy naszym klientom poprzez kompleksowe usługi doradztwa w zakresie przeprowadzenia audytu, wdrożenia wymagań Dyrektywy NIS2, szkoleniach i konsultacjach ze specjalistami w dziedzinie cyberbezpieczeństwa. Dodatkowo zapraszam do wypełnienia naszej krótkiej ankiety, dzięki której sprawdzisz, czy Twoja firma jest objęta wymaganiami: Czy jesteś gotowy na NIS2?

Jeśli wciąż masz wątpliwości, zachęcam do kontaktu ze mną, chętnie podzielę się wiedzą w tym zakresie, a także odpowiem na wszelkie pytania. Zapraszam do kontaktu: agata.drozdowska@itpunkt.pl

Porozmawiajmy

Szukasz bezpiecznych rozwiązań dla swojej firmy?
Skontaktuj się z nami.

Kontakt
image