Celem dyrektywy NIS2 jest zaoszczędzenie unijnej gospodarce 18 mld euro rocznie. Dyrektywa NIS2 jest jedną z najbardziej kompleksowych regulacji dotyczących cyberbezpieczeństwa na świecie.
Przyjęcie dyrektywy NIS2
Dyrektywa NIS2 została przyjęta w 2022 roku i zastąpiła dyrektywę NIS z 2016 roku. Jej przyjęcie miało na celu zwiększenie odporności infrastruktury cyfrowej na zagrożenia i ataki cybernetyczne. Rozporządzenie NIS2 wprowadza nowe wymagania dotyczące cyberbezpieczeństwa dla podmiotów działających w sektorze usług cyfrowych, w tym operatorów usług istotnych dla wspólnego rynku UE, dostawców usług cyfrowych i dostawców infrastruktury krytycznej. Jej celem jest zwiększenie ochrony sieci i systemów informatycznych oraz poprawa współpracy i wymiany informacji między państwami członkowskimi w przypadku cyberataków.
Branże objęte dyrektywą NIS2
Pierwsza wersja NIS miała ograniczoną liczbę sektorów. Wraz z NIS2 rozszerzono zasięg podmiotów podzielonych pomiędzy 2 sektory: kluczowe i ważne. Choć oba typy podmiotów muszą przestrzegać ram bezpieczeństwa NIS2, to kluczowe podmioty mają bardziej rygorystyczne ramy.
Czy moja firma podlega pod NIS-2? – Sprawdź w 2 minuty
Sektory kluczowe m.in:
- Sektor energetyczny
W tym dostawcy energii elektrycznej, gazu oraz ropy naftowej, operatorzy sieci przesyłowych i dystrybucyjnych, ze względu na ich krytyczne znaczenie dla funkcjonowania państw i gospodarki.
- Usługi transportowe
Wszystkie formy transportu, w tym lotniczy, kolejowy, drogowy i morski a także firmy logistyczne, są wymienione jako krytyczne sektory, które muszą zastosować się do wymogów NIS2.
- Zdrowie
Szpitale, kliniki, laboratoria, producenci leków i inne podmioty sektora zdrowia muszą spełniać zaktualizowane wymogi, aby chronić dane pacjentów i zapewnić ciągłość usług medycznych.
- Sektor publiczny
W tym administracja publiczna i jej kluczowe usługi, które są niezbędne dla utrzymania działalności społecznej i gospodarczej
- Dostawcy usług finansowych
Banki, ubezpieczyciele, giełdy, domy maklerskie i inne instytucje finansowe – wszystkie te podmioty podlegają surowszym regulacjom w zakresie cyberbezpieczeństwa pod egidą NIS2.
- Dostawcy usług cyfrowych i łączności
Dostawcy usług telekomunikacyjnych, dostawcy usług internetowych, usług chmurowych, platformy wymiany, platformy społecznościowe. Nowa dyrektywa rozszerza definicję usług cyfrowych i obejmuje więcej typów usług niż poprzednio.
- Dostawcy usług wodnych i odprowadzania ścieków
Ze względu na ich znaczenie dla zdrowia publicznego i bezpieczeństwa, sektor wody został wyraźnie wymieniony jako obszar objęty dyrektywą NIS2.
Sektory ważne m.in.:
- Produkcja
Urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych oraz naczep i innego sprzętu transportowego.
- Przemysł chemiczny
NIS2 odnosi się do istotnego aspektu krajobrazu przemysłowego, który ma kluczowe znaczenie dla konkurencyjności Europy, czyli przemysłu chemicznego obejmującego wytwarzanie, produkcję i dystrybucję chemikaliów. Przemysł chemiczny odgrywa kluczową rolę w dostarczaniu innowacyjnych materiałów i rozwiązań technologicznych w tym zakresie.
- Przemysł spożywczy
NIS2 klasyfikuje sektor spożywczy jako ważny podmiot. Obejmuje wszystkie etapy od rolnictwa (produkcja) do przetwarzania żywności, pakowania, transportu i sprzedaży detalicznej oraz podmioty w łańcuchu dostaw żywności.
- Sektor badawczy
Jest istotną siłą napędową innowacji i postępu, co czyni go cennym celem dla cyberprzestępców próbujących zakłócić działanie systemów krytycznych lub wykraść poufne dane naukowe.
- Gospodarka odpadami
Biorąc pod uwagę kompleksowe zaangażowanie w zbieranie, transport, przetwarzanie i unieszkodliwianie odpadów, sektor gospodarki odpadami stoi w obliczu znacznego ryzyka cyberataków, które mogą zakłócić jego podstawowe operacje. Dyrektywa NIS2 obejmuje obecnie branżę gospodarki odpadami, zobowiązując ją do przestrzegania rygorystycznych wymogów w zakresie cyberbezpieczeństwa.
- Usługi pocztowe i kurierskie
Uznając znaczenie sektora pocztowego, dyrektywa NIS2 nakazuje, aby organizacje działające w tej dziedzinie podejmowały niezbędne działania w celu wzmocnienia ich postawy w zakresie cyberbezpieczeństwa, czyniąc ją silną i odporną.
Nadzór nad wdrożeniem dyrektywy NIS2
Na mocy dyrektywy NIS2 nadzór nad wdrożeniem należy do organów krajowych państw członkowskich UE które muszą wyznaczyć organy ds. cyberbezpieczeństwa. Organy te będą odpowiedzialne za nadzór nad wdrażaniem dyrektywy NIS2 oraz reagowanie na incydenty cyberbezpieczeństwa. Unia Europejska również podejmuje działania mające na celu monitorowanie wdrożenia dyrektywy NIS2 oraz wspieranie państw członkowskich w zapewnieniu skutecznego egzekwowania przepisów. Komisja Europejska odgrywa kluczową rolę w koordynowaniu tych działań oraz w promowaniu współpracy między państwami członkowskimi w zakresie bezpieczeństwa cybernetycznego.
Obowiązki dla podmiotów objętych NIS2
Dyrektywa NIS2 przewiduje szereg obowiązków dla podmiotów objętych jej zakresem. Obowiązki te obejmują m.in.:
- Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cyberbezpieczeństwa.
- Zgłaszanie poważnych incydentów cyberbezpieczeństwa do właściwych organów.
- Przeprowadzanie regularnych audytów i ocen ryzyka cyberbezpieczeństwa.
- Utrzymywanie dokumentacji dotyczącej zastosowanych środków cyberbezpieczeństwa.
- Współpraca z innymi podmiotami objętymi dyrektywą NIS2 oraz organami nadzorczymi w celu wymiany informacji dotyczących cyberbezpieczeństwa.
- Przeprowadzanie regularnych testów i szkoleń w zakresie cyberbezpieczeństwa.
Google News
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Sankcje za niedostosowanie się do regulacji NIS2
Dyrektywa NIS2 (Network and Information Security Directive 2) jest prawem Unii Europejskiej, które ma na celu zwiększenie bezpieczeństwa sieci oraz systemów informacyjnych w UE. Rozporządzenie NIS2 przewiduje szereg sankcji za jej niewykonanie. Sankcje te obejmują m.in. wysokie grzywny i kary pieniężne. Sankcje mogą się różnić w zależności od kraju, a organy regulacyjne mają pewną elastyczność w ich stosowaniu, biorąc pod uwagę okoliczności każdego przypadku. Jednakże, w przypadku poważnych naruszeń bezpieczeństwa sieci lub systemów informatycznych, sankcje mogą być stosowane w pełnej surowości.
Regulacje NIS i NIS2 stanowią kluczowy krok w kierunku zwiększenia bezpieczeństwa w Unii Europejskiej. Rozszerzenie zakresu regulacji, surowe kary za ich niedopełnienie oraz wzmocniona rola agencji krajowych w egzekwowaniu przepisów mają na celu stworzenie bezpiecznego i niezawodnego środowiska cyfrowego dla obywateli i przedsiębiorstw. Jednakże, aby osiągnąć pełną skuteczność, konieczne jest aktywne zaangażowanie wszystkich zainteresowanych stron, ciągłe monitorowanie zmieniających się zagrożeń oraz dążenie do ciągłej poprawy standardów bezpieczeństwa cyfrowego na wszystkich poziomach. Tylko w ten sposób Unia Europejska będzie mogła efektywnie bronić się przed coraz bardziej złożonymi i wyrafinowanymi atakami w cyberprzestrzeni, zapewniając jednocześnie stabilność i ciągłość funkcjonowania swoich systemów informatycznych.
AUTORKA: Paulina Wójcik, Cyberbezpieczeństwo i outsourcing IT
Dowiedz się więcej o dyrektywą NIS2:
- Dyrektywa NIS2: czym jest i kogo dotyczy?
- NIS vs. NIS2: Kluczowe zmiany w zakresie obowiązków i obszaru działań