<img alt="" src="https://secure.leadforensics.com/779964.png" style="display:none;">
Ogólna kategoria

Dyrektywa NIS 2 a cyberbezpieczeństwo polskich firm

Sagenso Team
22 maj 2023
SHARE

Unijna dyrektywa NIS 2, o której mówiono przez ostatnich kilka lat, finalnie weszła w życie na początku 2023 roku. Wprowadza sporo zmian do wcześniejszej dyrektywy NIS, dzięki czemu państwa członkowskie Unii Europejskiej mogą lepiej odnaleźć się w świecie przyspieszonej transformacji cyfrowej. Czym jest dyrektywa NIS 2? Jak doszło do jej wprowadzenia? W jakim stopniu wpływa na cyberbezpieczeństwo polskich firm? Jakie przedsiębiorstwa muszą dopasować się do nowych przepisów? Sprawdź w artykule.

 

Początki dyrektywy NIS 2

 

W 2016 roku Parlament Europejski uchwalił dyrektywę NIS, czyli pierwsze europejskie prawo dotyczące cyberbezpieczeństwa. Dyrektywa zobowiązywała państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich regulacji, które miały zapewniać bezpieczeństwo cyfrowe sieci i systemów informatycznych.

 

W 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, przygotowana przez Ministerstwo Cyfryzacji. Jej celem było wdrożenie dyrektywy NIS w Polsce. Ustawa skupiała się na utworzeniu efektywnego systemu bezpieczeństwa teleinformatycznego na terenie naszego kraju.

 

W 2020 roku świat zmagał się z szeregiem zmian spowodowanych przede wszystkim pandemią COVID-19. Przyspieszona cyfryzacja i przenoszenie coraz większej ilości usług do sieci wpłynęły na wzrost liczby i rodzajów cyberataków. To wymusiło konieczność zaktualizowania dyrektywy NIS, żeby pasowała do nowej rzeczywistości i skuteczniej pomagała radzić sobie ze skutkami incydentów cybernetycznych. Stąd wzięła się dyrektywa NIS 2.

 

Dyrektywa NIS 2 a polityka bezpieczeństwa i analiza ryzyka

 

Dyrektywa NIS 2 to dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Stanowi nie tylko rozszerzenie dyrektywy NIS, ale też ważną część strategii bezpieczeństwa cybernetycznego Shaping Europe's Digital Future. Skupia się na ochronie danych gospodarczych, więc silnie wpływa na gospodarkę państw członkowskich, w tym funkcjonowanie firm.

 

Dyrektywa NIS 2 rozszerza zakres przepisów związanych z cyberbezpieczeństwem na nowe podmioty i sektory. Ma też za zadanie poprawić europejską cyberodporność, ulepszyć analizę ryzyka i usprawnić system reagowania na incydenty na każdym poziomie: od organizacji prywatnych i publicznych, przez organy państwowe, po całość Unii Europejskiej.

 

Wpływ dyrektywy NIS 2 na cyberbezpieczeństwo polskich firm

 

Dyrektywa NIS 2 uzupełnia zawarty w dyrektywie NIS spis branż o nowe sektory prywatne i publiczne, między innymi: telekomunikację i dostawców danych, branżę spożywczą, dostawców centrów danych, platformy mediów społecznościowych, przedsiębiorstwa spedycyjne i transportowe, firmy gospodarujące odpadami i ściekami, przedsiębiorstwa produkcyjne istotne dla gospodarki krajowej. Muszą one dostosować się do świeżo obowiązujących przepisów, w tym skutecznie zarządzać ryzykiem i dbać o politykę bezpieczeństwa.

 

Objęte dyrektywą NIS 2 organizacje zostały podzielone na kluczowe podmioty (m.in. bankowość, energetyka, transport, opieka zdrowotna, administracja publiczna) oraz istotne podmioty (m.in. żywność, usługi pocztowe i kurierskie, gospodarowanie odpadami). Przedsiębiorstwa będące operatorami usług kluczowych muszą zapewnić odpowiedni poziom środków bezpieczeństwa i zadbać o powiadomienie właściwych organów państwowych o zaistniałych incydentach. Wymogi dyrektywy dotyczą też kluczowych dostawców usług cyfrowych, oferujących m.in. usługi chmurowe, internetowe platformy handlu czy wyszukiwarki.

 

Przepisy dyrektywy NIS 2 zwiększają gotowość państw członkowskich i przyspieszają reagowanie na incydenty związane z cyberbezpieczeństwem. Skupiają się na wsparciu i współpracy między wszystkimi krajami Unii Europejskiej w zakresie wymiany informacji oraz ustalania strategii cyberbezpieczeństwa. Wymagają zastosowania konkretnych rozwiązań wchodzących w skład zarządzania ryzykiem, w tym: analizy ryzyka i bezpieczeństwa systemów IT, planów ciągłości działania, polityki zarządzania incydentami.

 

Wymóg wprowadzenia zmian wynikających z dyrektywy NIS 2

 

Dyrektywę NIS 2 oficjalnie ogłoszono w grudniu 2022 roku, a weszła w życie 16 stycznia 2023 roku. Polska ma czas na zaimplementowanie nowych przepisów w polskim ustawodawstwie do 17 października 2024 roku. 

 

Z kolei w ciągu 18 miesięcy od przyjęcia dyrektywy objęte nią organizacje kluczowe muszą się dostosować do jej wytycznych. Jeżeli tego nie zrobią, czeka je kara finansowa: 10 milionów euro albo 2% całkowitego obrotu firmowego w poprzednim roku. W przypadku podmiotów istotnych jest to 7 milionów euro albo 1,4% całkowitego obrotu firmowego.

 

Jeżeli przedsiębiorstwo zatrudnia mniej niż 250 pracowników lub ma roczne obroty mniejsze niż 50 milionów euro, może nie wprowadzać zmian. Jednak warto, by rozważyło taką możliwość, jeśli uczestniczy w łańcuchu dostaw razem z większymi podmiotami objętymi dyrektywą.


Jak upewnić się, czy Twoja firma utrzymuje wysoki poziom cyberbezpieczeństwa? Przeprowadź bezpłatny audyt bezpieczeństwa IT, który odkryje luki w zabezpieczeniach. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat bezpieczeństwa w sieci.

 

Do usłyszenia!

Zespół Sagenso
Sagenso Team

Sagenso Team

Kryzys energetyczny a cyberbezpieczeństwo firmy
Ogólna kategoria

Kryzys energetyczny a cyberbezpieczeństwo firmy

Od miesięcy mówi się o pogłębiającym się kryzysie energetycznym na całym świecie. Ceny surowców...
Czytaj więcej
Screenshot 2022-02-24 at 15.08.23

Stopnie alarmowe CRP i ich wpływ na ciągłość działania firmy

21 lutego 2022 roku doszło do bezprecedensowej sytuacji w historii Polski. Na terenie całego kraju...
Czytaj więcej

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawdź możliwości innowacyjnego narzędzia audytorskiego Telescope

Przeprowadź darmowy audyt IT