Dyrektywa NIS została przyjęta przez Parlament Europejski w 2018 roku. Dotyczyła zwiększenia cyberbezpieczeństwa w różnych sektorach gospodarki. Jednakże ciągły rozwój technologii i transformacja cyfrowa wywołały potrzebę nowelizacji dyrektywy, stąd 18 października 2024 wchodzi w życie dyrektywa NIS2.
Wiemy, że do października zostało jeszcze trochę czasu, ale na zmiany należy przygotować się odpowiednio wcześniej. Co zatem powinieneś wiedzieć o dyrektywie NIS2?
Przedsiębiorstwa ważne i kluczowe. Do którego zalicza się moja firma?
Istotną zmianą, którą jako pierwszą musisz wziąć pod uwagę, jest podział organizacji (a tym samym sektorów gospodarki) na dwie grupy: kluczowe i ważne.
Sektory (organizacje) kluczowe obejmuje następujące branże:
- energetyka,
- transport (również ten publiczny, np. kolejowy),
- bankowość,
- finanse,
- służba zdrowia,
- wody pitna,
- ścieki,
- infrastruktura (również ta cyfrowa),
- zarządzanie usługami ICT,
- administracja publiczna,
- przestrzeń kosmiczna.
Z kolei sektory (organizacje) ważne to:
- usługi pocztowe i kurierskie,
- gospodarka odpadami,
- produkcja żywności i chemikaliów,
- produkcja pojazdów i innego sprzętu transportowego,
- produkcja wyrobów medycznych,
- produkcja komputerów i urządzeń elektronicznych.
Ok, a jak mam ustalić, czy jestem przedsiębiorcą kluczowym czy ważnym?
- Firma, która działa w sektorze kluczowym i jest dużym przedsiębiorstwem, tj. ma powyżej 250 pracowników lub jego obroty są większe niż 50 milionów euro, jest przedsiębiorstwem kluczowym.
- Firma, która działa w sektorze kluczowym i jest średnim przedsiębiorstwem, tj. ma 50-250 pracowników lub jego obroty wynoszą od 10 milionów do 50 milionów euro, jest przedsiębiorstwem ważnym.
- Firma, która działa w sektorze ważnym i jest średnim albo dużym przedsiębiorstwem, jest przedsiębiorstwem ważnym (niezależnie od wielkości).
Przedsiębiorstwo, które wielkościowo jest małe lub mikro, generalnie nie podlega pod przepisy dyrektywy NIS2.
Sprawdziłem i wiem już, do jakiego przedsiębiorstwa się zaliczam. Co dalej?
Jeśli kwalifikujesz się jako przedsiębiorstwo ważne lub kluczowe i podlegasz nowym przepisom NIS2, powinieneś zgłosić się do odpowiedniego rejestru prowadzonego przez organy państwowe. Na ten moment jednak szczegóły nie są znane, ponieważ każde państwo UE będzie miało swoje, indywidualne procedury w tym temacie. Zatem – czekamy!
Jakie konkretne działania muszę wdrożyć w mojej firmie, żeby być zgodnym z dyrektywą NIS2?
Dyrektywa wymaga przede wszystkim przyjęcia odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. Nie określa ich precyzyjnie, natomiast wskazuje, że organizacje muszą zadbać przynajmniej o takie obszary, jak:
- polityka analizy ryzyka i bezpieczeństwa systemów informatycznych,
- obsługa incydentu,
- ciągłość działania przedsiębiorstwa za pomocą backupów czy umiejętności zarządzania nagłymi incydentami i awariami,
- bezpieczeństwo łańcucha dostaw,
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
- polityka dotycząca oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- podstawowe szkolenia z cyberbezpieczeństwa,
- polityka stosowania kryptografii i szyfrowania,
- bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami,
- stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Co mi grozi za niedostosowanie się do przepisów dyrektywy NIS2?
Za niewprowadzenie stosownych zmian czekają surowe kary. W przypadku przedsiębiorstw kluczowych mogą wynieść nawet 10 mln euro lub 2% łącznego światowego obrotu. Natomiast przedsiębiorstwa ważne mogą otrzymać karę do 7 mln euro lub 1,4% łącznego światowego obrotu.
Mamy nadzieję, ze ten przewodnik pomoże Ci zrozumieć dyrektywę NIS2 i wprowadzić zmiany do Twojej organizacji!
Przeczytaj również
