NIS a NIS2 – istotne zmiany w Dyrektywie
Podczas spotkań z klientami zauważyłam, że pojawia się wiele wątpliwości co do istotnych różnic między NIS a NIS2 oraz konieczności wdrożenia wymagań Dyrektywy NIS2 w ich organizacjach.
Często klienci zastanawiają się, czy już wdrożone zabezpieczenia i procedury (zgodnie z NIS i UoKSC) są wystarczające w odniesieniu do spełnienia wymagań Dyrektywy NIS2. Niejednokrotnie zastanawiają się również, czy warto wdrożyć wymagania i kiedy najlepiej to zrobić, a także czy przeprowadzić to samodzielnie, czy z pomocą specjalistów. Te aspekty omówię w moim kolejnym artykule, dzisiaj skupię się przede wszystkim na znaczących rozpiętościach między obiema Dyrektywami, poprzez krótką analizę ich zakresów i najważniejszych obowiązków.
W pierwszej kolejności uporządkujmy daty przyjęcia i wejścia w życie poszczególnych zmian:
DYREKTYWA NIS | USTAWA o KSC | DYREKTYWA NIS2 |
Przyjęta 6 lipca 2016 r. | Przyjęta 5 lipca 2018 r. | Przyjęta 14 grudnia 2022 r. |
Weszła w życie w sierpniu 2016 r. | Weszła w życie w sierpniu 2018 r. | Weszła w życie w styczniu 2023 r. |
Dyrektywa NIS została przyjęta 6 lipca 2016 r. i jest pierwszym uchwalonym przez Parlament Europejski prawem dotyczące cyberbezpieczeństwa, który reguluje kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Jedną z przyczyn powstania Dyrektywy NIS był wzmożony ruch sieciowy i bardzo dynamiczny rozwój wszelkiego rodzaju usług online oraz cyfryzacji wielu sektorów biznesu. Dyrektywa ta nakłada na państwa członkowskie szereg obowiązków i obliguje je do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy, czego efektem jest ujednolicenie poziomu bezpieczeństwa cyfrowego w poszczególnych krajach członkowskich. W Polsce zapisy Dyrektywy NIS realizuje Ustawa o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 roku.
Po uchwaleniu Dyrektywy NIS pojawiły się duże różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty. Biorąc pod uwagę powyższe aspekty, jak również wiele innych czynników takich jak pandemia Covid-19 i związany z tym postęp cyfryzacji, postanowiono przyjąć Dyrektywę NIS2, która jest rewizją istniejącej Dyrektywy NIS.
Przegląd NIS spowodował, że na podmioty objęte Dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w takim zakresie jak zarządzanie, obsługa i ujawnienie luk w zabezpieczeniach, testowanie poziomu cyberbezpieczeństwa oraz efektywne wykorzystywanie szyfrowania.
Jakie są główne różnice między Dyrektywą NIS a NIS2?
- Informacja o objęciu wymaganiami: Główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.
- Ściślejszy nadzór: Organy krajowe mają prawo do bardziej rygorystycznego nadzoru i egzekwowania przepisów. Nowa dyrektywa zrównuje systemy kar i wymogi sprawozdawcze we wszystkich państwach członkowskich.
- Kary: Dyrektywa wprowadza odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie. Wartość kary może sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.
- Zakres podmiotów: NIS2 rozszerza zakres regulacji na więcej sektorów, w tym administrację publiczną oraz usługi ICT, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną oraz szerzej traktuje niektóre sektory (m.in. rozszerzenie zakresu infrastruktury cyfrowej), co zwiększa liczbę organizacji objętych wymogami.
- Zarządzanie ryzykiem: NIS2 wprowadza szczegółowe wymagania dotyczące regularnych ocen ryzyka oraz wdrażania środków ochrony, kładąc nacisk na podejście oparte na ryzyku.
- Raportowanie incydentów: NIS2 zaostrza wymogi dotyczące zgłaszania incydentów, nakładając obowiązek raportowania w ciągu 24 godzin od ich wykrycia.
- Bezpieczeństwo łańcucha dostaw: NIS2 wprowadza obowiązki związane z zarządzaniem ryzykiem dostawców, co nie było tak wyraźnie określone w NIS.
Dyrektywa NIS2 wprowadza istotne zmiany w porównaniu do NIS, przede wszystkim rozszerzając zakres i wymagania dotyczące cyberbezpieczeństwa. Mam nadzieję, że mój artykuł pomógł zrozumieć różnice miedzy Dyrektywą NIS a Dyrektywą NIS2 oraz liczę, że przedstawione przeze mnie porady pomogą Twojej firmie odnaleźć się w nowej rzeczywistości.
Jak ITPunkt może pomóc w tym wyzwaniu?
Pomagamy naszym klientom poprzez kompleksowe usługi doradztwa w zakresie przeprowadzenia audytu, wdrożenia wymagań Dyrektywy NIS2, szkoleniach i konsultacjach ze specjalistami w dziedzinie cyberbezpieczeństwa. Dodatkowo zapraszam do wypełnienia naszej krótkiej ankiety, dzięki której sprawdzisz, czy Twoja firma jest objęta wymaganiami: Czy jesteś gotowy na NIS2?
Jeśli wciąż masz wątpliwości, zachęcam do kontaktu ze mną, chętnie podzielę się wiedzą w tym zakresie, a także odpowiem na wszelkie pytania. Zapraszam do kontaktu: agata.drozdowska@itpunkt.pl