Co zmienia dyrektywa NIS2 względem poprzedniej wersji?
Dyrektywa NIS2, względem pierwszej wersji dokumentu, wprowadza między innymi następujące zmiany:
- W nowej wersji dyrektywy rozszerzono zakres podmiotów objętych regulacjami, obejmując więcej sektorów gospodarki.
- Wskazano nowe metody selekcji i rejestracji.
- W NIS2 rezygnuje się z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego klasyfikuje organizacje według ich znaczenia oraz dzieli je na podmioty kluczowe i ważne.
- Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz umożliwia elastyczne podejście w identyfikacji mniejszych firm o wysokim profilu ryzyka.
- Zaktualizowany dokument nakłada na podmioty nowe obowiązki, takie jak wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, implementację polityki bezpieczeństwa systemów, zabezpieczenie łańcuchów dostaw oraz opracowanie Planu Ciągłości Działania.
- Zwiększono odpowiedzialność za zarządzanie i odpowiedzialność osobistą.
- Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie. Na przykład, podmioty kluczowe i ważne będą miały obowiązek zgłaszania poważnych incydentów do właściwego CSIRT (lub innego organu) w określonych terminach. Organizacje te mogą również zostać zobowiązane do powiadomienia swoich klientów o wystąpieniu zdarzenia, a w szczególnych sytuacjach nawet o samym zagrożeniu.
Uprawnienia organów nadzoru w zakresie kontroli i egzekwowania przepisów
Dyrektywa NIS2 przyznaje organom nadzorczym szerokie uprawnienia do kontroli i egzekwowania przepisów. Obejmują one między innymi:
- Przeprowadzanie niezależnych i ukierunkowanych audytów bezpieczeństwa oraz nakładanie zaleceń wynikających z tych audytów.
- Wnioskowanie o udostępnienie informacji, dostęp do danych i dokumentów.
- Wydawanie nakazów zapewnienia zgodności z dyrektywą NIS2.
Szczegółowy zakres tych uprawnień będzie różny w zależności od tego, czy dotyczą one podmiotów kluczowych czy ważnych. W przypadku braku dostosowania się do dyrektywy przez podmioty kluczowe, organy nadzorcze będą miały możliwość tymczasowego zawieszenia certyfikacji, zezwolenia na świadczenie usług czy prowadzenia działalności.