W ostatnich latach możemy zauważyć gwałtowny wzrost liczby cyberataków i incydentów w Europie oraz na świecie. Poważnym problemem są szczególnie phishing, złośliwe oprogramowanie i ransomware. Odpowiedzią na te wyzwania było opracowanie jednolitego zestawu wymagań dla organizacji, jakim jest dyrektywa NIS2.
Cyberataki mogą znacząco wpłynąć na społeczeństwa, ponieważ w dużym stopniu polegamy na sprawnie funkcjonującej infrastrukturze cyfrowej, zarówno na poziomie biznesowym, jak i osobistym.
Ponieważ praca w wielu organizacjach odbywa się głównie w środowisku cyfrowym, bezpieczeństwo cybernetyczne staje się podstawowym wymogiem, aby zapewnić dostępność i ciągłość oferowanych przez różne podmioty usług.
Wprowadzenie dyrektywy NIS2 i jej cele
Dyrektywa NIS2 wprowadzona została w 2020 r., a w życie weszła 16 stycznia 2023 r. Stanowi kontynuację i rozszerzenie poprzedniej dyrektywy UE dotyczącej cyberbezpieczeństwa – NIS. Komisja Europejska zaproponowała rozwinięcie i naprawienie braków pierwotnej dyrektywy w sprawie bezpieczeństwa sieci i informacji.
NIS2 ma na celu zwiększenie bezpieczeństwa sieci i systemów informatycznych w UE poprzez nałożenie na operatorów infrastruktury krytycznej i usług kluczowych obowiązku wdrożenia odpowiednich środków bezpieczeństwa i zgłaszania wszelkich incydentów odpowiednim organom.
W porównaniu do NIS, NIS2 rozszerza swoje ogólnoeuropejskie wymagania bezpieczeństwa oraz zakres objętych organizacji i sektorów, aby poprawić bezpieczeństwo łańcuchów dostaw, uprościć obowiązki sprawozdawcze oraz egzekwować bardziej rygorystyczne środki i sankcje w całej Europie.
Co oznacza skrót NIS2?
NIS2 to skrót od “Network and Information Security Directive” czyli dyrektywa o bezpieczeństwie sieci i informacji.
Dyrektywa NIS2 stanie się oficjalnie prawem w 2024 roku
Państwa członkowskie mają czas do 17 października 2024 r. na transpozycję dyrektywy do prawa krajowego. Oznacza to, że każda organizacja objęta Dyrektywą będzie prawnie zobowiązana do spełnienia jej wymagań do IV kwartału 2024 roku.
Poprzednia wersja dyrektywy – NIS
Pierwotna dyrektywa NIS również miała na celu podniesienie poziomu cyberbezpieczeństwa państw członkowskich UE, jednak jej wdrożenie napotkało wyzwania i spowodowało niespójne wysiłki w całej Unii. W świetle rosnących zagrożeń cybernetycznych Komisja Europejska zaproponowała zamiennik w postaci dyrektywy NIS2.
Więcej sektorów, których dotyczy dyrektywa NIS2
NIS2 zwiększa liczbę sektorów / branż, których dotyczy z 7 do łącznie 15, aby chronić ważniejsze obszary gospodarki.
Bardziej rygorystyczne wymagania
W porównaniu do dyrektywy NIS1, NIS2 radykalnie zwiększa wymagania dotyczące egzekwowania cyberbezpieczeństwa w sektorach, których dotyczy.
Więcej konsekwencji za niedostosowanie się
Oprócz wysokich kar finansowych nieprzestrzeganie dyrektywy NIS2 może również prowadzić do konsekwencji prawnych dla zespołów zarządzających.
Najważniejsze elementy dyrektywy NIS2
- Z uwagi na znaczenie dla gospodarki i społeczeństwa, nowa dyrektywa obejmuje większą liczbę sektorów oraz zmienia sposób klasyfikacji przedsiębiorstw. W projekcie uwzględniono średnie i duże przedsiębiorstwa w wybranych sektorach. Jednocześnie umożliwia ona państwom członkowskim pewną elastyczność w identyfikacji mniejszych firm o profilu wysokiego ryzyka.
- Większy nacisk kładziony jest na organy zarządzające spółek objętych zakresem działania, w ramach którego państwa członkowskie muszą zagwarantować, że takie organy zarządzające mogą być pociągnięte do odpowiedzialności za naruszenie przez podmiot przepisów dotyczących tych środków.
- Dyrektywa zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, nakładając podejście oparte na zarządzaniu ryzykiem i definiując podstawowe środki bezpieczeństwa cybernetycznego, które muszą wdrożyć wszystkie organizacje objęte zakresem dyrektywy.
- Wymogi dotyczące zgłaszania incydentów zostaną zintensyfikowane, a sankcje za ich nieprzestrzeganie zostaną zwiększone.
- W NIS2 nie występuje już rozróżnienie między operatorami usług podstawowych a dostawcami usług cyfrowych. Organizacje zostały zaklasyfikowane na podstawie ich istotności i podzielone na kategorie kluczowe oraz ważne, co skutkuje zastosowaniem różnych poziomów nadzoru kontrolnego.
- Poszczególne podmioty muszą podjąć działania w celu zarządzania zagrożeniami bezpieczeństwa w łańcuchach dostaw oraz w relacjach z kontrahentami.
- Wprowadzone zostaną bardziej zaostrzone środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa, a także unifikacja systemów sankcji i obowiązków sprawozdawczych w państwach członkowskich. Dodatkowo wzmocniona zostanie współpraca oraz wymiana informacji między państwami członkowskimi.
Pozostało już niewiele czasu, aby dostosować się do przepisów NIS2. Zdecydowanie lepiej wcześniej skupić się na rozpoczęciu prac związanych z zapewnieniem zgodności z NIS2, niż odkładać to na później. Standardowy proces zapewniania zgodności z NIS2, obejmujący oceny bezpieczeństwa, audyty, doradztwo i wdrażanie narzędzi, trwa bowiem około 12 miesięcy.
Treść dyrektywy NIS 2 w języku polskim znajdziesz tutaj: Dziennik Urzędowy Unii Europejskiej L333/1, rocznik 65 [wydanie polskie, 27.12.2022]