Dyrektywa NIS2 to nowelizacja pierwszego prawa unijnego dotyczącego cyberbezpieczeństwa, która weszła w życie 16 stycznia 2023 roku. Obowiązuje na terenie całej Unii Europejskiej i wprowadza szereg zmian względem pierwszej dyrektywy NIS1, znacznie poszerzając zakres podmiotów objętych regulacją i nakładając na nie nowe obowiązki. Państwa członkowskie UE na implementację nowelizowanych przepisów do krajowego porządku prawnego mają czas do 17 października 2024 roku. Jeśli więc Twoja firma działa w sektorze objętym regulacją NIS2, już teraz warto przygotować się na jej wdrożenie. Podpowiadamy, jak to zrobić.
Jakie firmy są objęte regulacją Dyrektywy NIS2?
Dyrektywa NIS2 uwzględnia łącznie 18 sektorów gospodarki, w tym 11 nowych względem swojej pierwszej wersji. Każde przedsiębiorstwo, które spełnia wymóg wielkości (min. 50 osób zatrudnionych lub ponad 10 mln euro przychodów rocznie) i działa w ich ramach, zostanie objęte tą unijną regulacją prawną. Do kręgu tych podmiotów zaliczają się m.in. firmy świadczące usługi pocztowe i kurierskie, usługi transportu publicznego, zarządzające odpadami, zajmujące się produkcją żywności i napojów, farmaceutyczną, chemiczną oraz urządzeń medycznych. Oprócz nich do przestrzegania przepisów wynikających z NIS2 zobowiązane są podmioty administracji publicznej, działające w sektorze energetycznym, transportowym, bankowym i finansowym, opieki zdrowotnej, a także w branży przestrzeni kosmicznej, zarządzania usługami ICT oraz należące do infrastruktury cyfrowej.
Warto dodać, że znowelizowana dyrektywa nie tylko poszerza zakres podmiotów objętych regulacją, ale także dzieli owe podmioty na ważne i kluczowe. Ich nieprzestrzeganie wiązać się będzie z bardzo wysokimi karami administracyjnymi. Podział ten opiera się na znaczeniu podmiotu dla gospodarki i społeczeństwa oraz na potencjalnym wpływie incydentów na bezpieczeństwo i zdrowie publiczne. Kluczowe podmioty to te, które mają istotne znaczenie dla funkcjonowania społeczeństwa i gospodarki, takie jak infrastruktura krytyczna. Ważne podmioty mają mniej surowe obowiązki, ale nadal muszą spełniać określone standardy bezpieczeństwa. To między innymi z tego względu priorytetem każdego przedsiębiorstwa działającego w sektorach wskazanych w NIS2 powinno być jej odpowiednie wdrożenie (https://www.sprinttech.pl/dyrektywa-nis-2/).
Co warto wiedzieć?
Dyrektywa NIS2 nie precyzuje dokładnie, jak osiągnąć założone cele, pozostawiając pewną elastyczność przedsiębiorstwom i państwom członkowskim. Aby ułatwić interpretację i wdrożenie wymagań, można skorzystać z dostępnych wytycznych, najlepszych praktyk i standardów, takich jak:
- ISO/IEC 27001 – Systemy zarządzania bezpieczeństwem informacji.
- NIST Cybersecurity Framework – Ramy zarządzania cyberbezpieczeństwem opracowane przez National Institute of Standards and Technology (NIST).
- Wytyczne ENISA – Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) oferuje wytyczne i najlepsze praktyki dotyczące cyberbezpieczeństwa w UE.
Dyrektywa NIS2 – jak dostosować firmę do jej wdrożenia?
Zgodnie z NIS2, przedsiębiorstwa objęte regulacją muszą dostosować się do nowych standardów poprzez podjęcie konkretnych działań. Pierwszym krokiem powinno być przeprowadzenie audytu systemu informatycznego, dokonanego przez niezależną firmę specjalizującą się w tym zakresie (https://www.sprinttech.pl/). Umożliwi on określenie poziomu cyberbezpieczeństwa oraz zgodności z dyrektywą, przy jednoczesnym wskazaniu obszarów wymagających poprawy. Przedsiębiorstwo musi również opracować koncepcję w zakresie analizy ryzyka i bezpieczeństwa systemów informatycznych, koncepcję procedur skuteczności środków zarządzania ryzykiem, koncepcję korzystania z kryptografii i szyfrowania oraz kontroli dostępu i ich wdrożenia. Niezbędne będzie ponadto zachowanie bezpieczeństwa w łańcuchu dostaw oraz wysokiego bezpieczeństwa w rozwoju, nabywaniu i utrzymaniu systemów informatycznych, w tym zarządzanie lukami w zabezpieczeniach.
Wspomniane wymogi to tylko część obowiązków nałożonych przez NIS2 na przedsiębiorstwa objęte regulacjami. Ich implementację utrudnia dodatkowo fakt, o którym wspominaliśmy już wyżej, że dyrektywa nie precyzuje dokładnie, jak założone w niej cele mają zostać osiągnięte. W całym procesie warto więc skorzystać z pomocy firmy specjalizującej się w tym zakresie – takiej jak SprintTech, poświadczającej swoje kompetencje w tym zakresie niezbędnymi certyfikatami (w tym certyfikatem ISO/IEC 27001:2017) i wieloma opiniami zadowolonych klientów
– Kwiaciarnia Floli.pl – Kwiaty, które mówią więcej niż słowa
Dodaj komentarz