Wprowadzenie
Dyrektywa NIS 2 jest rozszerzeniem dotychczasowej dyrektywy NIS 1, która była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa, a której pełna nazwa to: “Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii”. W Polsce znana jest pod nazwą “Ustawa o krajowym systemie cyberbezpieczeństwa”.
Dyrektywa ma na celu dostosowanie cyberbezpieczeństwa do obecnych, cyfrowych czasów, w których zagrożenie różnego rodzaju cyberatakami jest coraz większe. Nakłada ona obowiązek odpowiedniego zabezpieczania infrastruktury przez przedsiębiorstwa oraz podmioty. Wprowadza obowiązkowe audyty cyberbezpieczeństwa, obowiązek zgłaszania incydentów, działania nadzorcze, czy też wprowadza wysokie kary administracyjne w przypadku nieprzestrzegania zasad ustalonych w dyrektywie.
Spis treści
Kogo dotyczy dyrektywa NIS 2?
Zakres stosowania niniejszej dyrektywy obejmuje wszystkie podmioty, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich przedsiębiorstw oraz które działają w sektorach objętych tą dyrektywą lub świadczą objęte nią rodzaje usług lub prowadzą objętą nią działalność. Objęte zakresem dyrektywy NIS 2 mogą być także niektóre małe przedsiębiorstwa i mikroprzedsiębiorstwa, które spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów lub rodzajów usług.
Sektory kluczowe:
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
– dostawcy punktu wymiany ruchu internetowego
– dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw
– rejestry nazw TLD
– dostawcy usług chmurowych
– dostawcy usług ośrodka przetwarzania danych
– dostawcy sieci dostarczania treści
– dostawcy usług zaufania
– dostawcy publicznych sieci łączności elektronicznej
– dostawcy publicznie dostępnych usług łączności elektronicznej - Zarządzanie usługami ICT (między przedsiębiorstwami)
- Podmioty administracji publicznej
- Przestrzeń kosmiczna
Sektory ważne:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja
– produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
– produkcja komputerów, wyrobów elektronicznych i optycznych
– produkcja urządzeń elektrycznych
– produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
– produkcja pojazdów samochodowych, przyczep i naczep
– produkcja pozostałego sprzętu transportowego - Dostawcy usług cyfrowych
– dostawcy internetowych platform handlowych
– dostawcy wyszukiwarek internetowych
– dostawcy platform usług sieci społecznościowych - Badania naukowe
Dyrektywa NIS 2 od kiedy obowiązuje?
Dyrektywa NIS 2 weszła w życie 16 stycznia 2023 r., natomiast termin implementacji zawartych w niej wymagań mija 17 października 2024 r.
Jakie środki należy podjąć w związku z dyrektywą NIS 2?
Państwa członkowskie muszą zapewnić, że kluczowe i ważne podmioty wprowadzają odpowiednie środki techniczne, operacyjne i organizacyjne do zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Środki te powinny być proporcjonalne do istniejącego ryzyka i uwzględniać najnowszy stan wiedzy, normy europejskie i międzynarodowe oraz koszty wdrożenia.
Wymienione środki powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia i mają na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Powinny one obejmować co najmniej następujące elementy:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,
- obsługę incydentu,
- ciągłość działania i zarządzanie kryzysowe,
- bezpieczeństwo łańcucha dostaw,
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
- polityki i procedury oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- podstawowe praktyki cyberhigieny i szkolenia z zakresu cyberbezpieczeństwa,
- polityki i procedury stosowania kryptografii i szyfrowania,
- bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami,
- stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności w sytuacjach nadzwyczajnych.bl
Obowiązek zgłaszania incydentów
Państwa członkowskie UE muszą zapewnić, że kluczowe i ważne podmioty zgłaszają poważne incydenty wpływające na świadczenie usług swojemu właściwemu CSIRT lub organowi bez zbędnej zwłoki. W przypadku incydentów transgranicznych, podmioty te muszą dostarczyć informacje umożliwiające ustalenie wpływu incydentu.
W razie poważnego cyberzagrożenia, państwa członkowskie muszą zapewnić, że te podmioty informują swoich odbiorców o środkach zaradczych lub innych środkach, które mogą zastosować w reakcji na to zagrożenie.
Incydent uznaje się za poważny, jeżeli spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu, a także jeśli wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Zgodnie z dyrektywą NIS2, państwa członkowskie muszą zapewnić, że podmioty zgłaszające incydenty dostarczają CSIRT lub właściwemu organowi odpowiednie informacje:
a) bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny;
b) bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – zgłoszenie incydentu, w stosownych przypadkach z aktualizacją informacji, o których mowa w lit. a), i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu;
c) na wniosek CSIRT lub, jeżeli ma to zastosowanie, właściwego organu – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu;
d) sprawozdanie końcowe nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) zawierające następujące elementy:
(i) szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
(ii) rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;
(iii) zastosowane i wdrażane środki ograniczające ryzyko;
(iv) w stosownych przypadkach transgraniczne skutki incydentu;
e) jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d), państwa członkowskie zapewniają, aby zainteresowane podmioty przedstawiły w tym momencie sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia przez nich obsługi incydentu.
Na zasadzie odstępstwa od powyższego akapitu lit. b) dostawca usług zaufania zgłasza poważne incydenty, które mają wpływ na świadczenie jego usług zaufania CSIRT lub, w stosownych przypadkach, właściwemu organowi, bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia informacji o takim poważnym incydencie.
Jakie są kary za nieprzestrzeganie dyrektywy NIS 2?
Zgodnie z dyrektywą NIS 2 kary pieniężne nakładane na podmioty kluczowe i ważne za naruszenia dyrektywy mają być skuteczne, proporcjonalne i odstraszające, stosownie do okoliczności każdego indywidualnego przypadku.
Podmioty kluczowe dokonujące naruszeń podlegają administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa.
Podmioty ważne dokonujące naruszeń podlegają zgodnie administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa.
Podsumowanie
Jeśli potrzebujesz przygotować swoją firmę do spełniania norm związanych z dyrektywą NIS 2 lub chcesz przygotować firmę pod audyt w związku z NIS 2, możemy Ci w tym pomóc, zapewniając pełen profesjonalizm oraz wieloletnie doświadczenie w zabezpieczaniu architektury sieciowej, dzięki czemu będziesz mógł uniknąć wysokich kar, a także ograniczyć do minimum ryzyko wystąpienie incydentu związanego z cyberbezpieczeństwem.
Uwaga – powyższy artykuł zawiera tylko niektóre informacje dotyczące dyrektywy NIS 2 i mogą być one tylko częścią kontekstu. Zalecamy zapoznać się z pełną treścią dyrektywy, w celu dokładnego zrozumienia jej zapisów.
Źródło: DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555
https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&qid=1700566033390
Przeczytaj także:
Dlaczego warto zainwestować w cyberbezpieczeństwo?