NIS2 - dlaczego dotyczy tak wielu firm?
Dyrektywa NIS2 to aktualizacja Dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS), która została wprowadzona przez Unię Europejską w celu poprawy cyberbezpieczeństwa na terenie UE w 2016 roku. Rosnąca skala cyberzagrożeń, nasilające się ataki i rozwój technologii wykorzystywanej przez cyberprzestępców sprawiły, że rekomendowane w niej rozwiązania szybko okazały się niewystarczające.
Dyrektywa NIS2 uzupełnia pierwotny dokument, wprowadza też podział na sektory kluczowe i sektory ważne, ale nie tylko dla nich nowe przepisy będą istotnym czynnikiem otoczenia prawnego. Ich stosowanie może być wymagane przez wszystkich uczestników łańcucha dostaw do firm z tych dwóch obszarów.
Kluczowe sektory cyberbezpieczeństwa kraju w kontekście NIS2
To czy dany podmiot zostanie zakwalifikowany jako kluczowy, czy ważny, zależy m. in. od jego rozmiaru oraz sektora działalności. Istotne jest również określenie, jakie znaczenie ma dany sektor dla niezakłóconego funkcjonowania gospodarczego i społecznego Unii Europejskiej.
Szczególną uwagę na kwestię zabezpieczeń muszą zwrócić branże uznane za kluczowe dla działania gospodarki UE i dobrostanu jej obywateli.
Sektory kluczowe to:
- energetyka,
- transport,
- bankowość,
- infrastruktura rynków finansowych,
- opieka zdrowotna,
- woda pitna,
- ścieki,
- infrastruktura cyfrowa,
- zarządzanie usługami ICT (między przedsiębiorstwami),
- podmioty administracji publicznej,
- przestrzeń kosmiczna
NIS2 wyróżnia także drugą kategorię organizacji, które są uznawane za ważne dla stabilności gospodarki i całej Unii Europejskiej. Są to tzw. sektory ważne:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja, wytwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie ich dystrybucja żywności,
- produkcja,
- dostawcy usług cyfrowych,
- badania naukowe.
Ponadto na rynku pojawiają się głosy, że wymogi NIS2 będą musiały spełnić nie tylko firmy z wymienionych kategorii, ale również ich dostawcy, nawet jeśli do tych kategorii nie należą.
Dyrektywa NIS2 ma zastosowanie zarówno do podmiotów publicznych, jak i prywatnych, które działają na terenie Unii Europejskiej i kwalifikują się jako średnie lub duże firmy. Są to organizacje, które zatrudniają co najmniej 50 pracowników, a ich roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro.
Maksymalne kary za zaniedbania obowiązków wynikających z NIS2
Zarówno podmioty kluczowe jak ważne obciążone mogą być wysokimi karami finansowymi. Bardzo ważnym elementem pracy nad zabezpieczeniami firmy, które pomogą uniknąć nie tylko cyberataków, ale również związanych z nimi problemów formalnych i kar, jest stała analiza sytuacji.
podmioty kluczowe
maksymalny wymiar kary to 10 mln EUR lub co najmniej 2% obrotu
podmioty ważne
maksymalny wymiar kary to 7 mln EUR lub co najmniej 1,4% obrotu
Twoja organizacja należy do któregoś z wymienionych sektorów lub blisko z nimi współpracuje?
Data 17 października 2024 r. to ostateczny termin implementacji nowych przepisów do polskiego systemu prawnego.
Po tym czasie przepisy zawarte w dyrektywie zaczynają obowiązywać wszystkie wskazane podmioty w państwach członkowskich. Przygotowania warto zacząć wcześniej – wprowadzanie odpowiednich procesów, polityk i zabezpieczeń może potrwać kilka tygodni.
Szukasz wsparcia w zabezpieczeniu infrastruktury IT? Porozmawiajmy.
Powiązane informacje
Skąd wiadomo, co dzieje się w sieci? SIEM i analiza logów
Zagrożenia cybernetyczne stały się codziennością. Z tego powodu w organizacjach istnieje pilna potrzeba budowy skutecznych strategii ciągłego monitorowania i reagowania na potencjalne incydenty. Jednym z
Normy z rodziny ISO 27000 – co regulują i dlaczego są tak ważne dla bezpieczeństwa informacji?
Cyberbezpieczeństwo wymaga odpowiedniego podejścia. Skutecznym rozwiązaniem, ograniczającym wpływ zagrożeń na nasze systemy i infrastrukturę IT, a w efekcie na informacje gromadzone przez organizację, jest standaryzacja