Dyrektywa NIS2 (Network and Information Systems Directive 2)”, dotycząca cyberbezpieczeństwa, wejdzie w życie w październiku 2024 roku, obejmując szerszą niż dotychczas grupę organizacji, będzie miało duże znaczenie dla podmiotów działających w przestrzeni cyfrowej, zarówno w sektorze publicznym, jak i prywatnym.
8 kwietnia 2024 w wykazie prac legislacyjnych rządu poinformowano o pracach nad projektem noweli ustawy o krajowym systemie cyberbezpieczeństwa. Projekt przygotowywany przez resort cyfryzacji, ma zostać przyjęty przez rząd w trzecim kwartale 2024 r.
Czy Twoja spółka jest objęta dyrektywą NIS2?
Dyrektywa NIS2 dotyczy średnich i dużych firm oraz instytucji z wielu sektorów, między innymi: energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej, przestrzeni kosmicznej i żywności, a także firmy należące do ich łańcuchów dostaw, będą musiały wprowadzić szereg rozwiązań i procedur bezpieczeństwa.
Czy moja firma podlega pod NIS-2? – Sprawdź w 2 minuty
Nowe prawo wdroży przepisy unijnej dyrektywy z 4 grudnia 2022 r. ws. środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2).
Jakie kary za niewdrożenie Dyrektywy NIS2?
UE wprowadzi dotkliwe kary za naruszenie założeń NIS2 w wysokości nawet 10 mln euro lub 2% światowych obrotów dla podmiotów kluczowych, co powinno wypromować zasady wprowadzane w tej dyrektywie na najwyższy priorytet. Ponadto, istnieje również odpowiedzialność finansowa i osobista kierownictwa wyższego szczebla.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Jakie podmioty są objęte regulacją NIS2?
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), skoncentrowana na wytycznych dyrektywy NIS2, obejmuje swoim zakresem nowe sektory gospodarki. Celem tego działania jest wzmocnienie odporności infrastruktury krytycznej na cyberataki i zapewnienie ochrony kluczowych obszarów funkcjonowania państwa.
Nowe sektory objęte tymi zmianami to m.in.:
- Usługi pocztowe i kurierskie
- Zarządzanie odpadami
- Produkcja żywności i napojów
- Produkcja farmaceutyczna
- Produkcja chemiczna
- Produkcja urządzeń medycznych
- Transport publiczny
- Wodociągi i kanalizacja
- Gospodarka odpadami
Rozwój systemów zgodnych z dyrektywą NIS2
Najważniejsze zmiany w dotychczasowych przepisach to przede wszystkim wdrożenie i zastosowanie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów o charakterze poważnym do odpowiednich organów. Rozwój systemów zgodnych z dyrektywą NIS2 obejmuje szereg działań mających na celu zapewnienie bezpieczeństwa sieci i systemów informacyjnych w organizacji.
Firmy będą miały obowiązek raportowania incydentów bezpieczeństwa, co oznacza, że konieczny stanie się rozwój systemów, które sprawnie je wykryją. Zwiększą się wymagania z zakresu ujawniania i obsługi luk bezpieczeństwa, efektywnego szyfrowania oraz testowania zabezpieczeń.
Jak dostosować firmę do wdrożenia NIS2?
Firmy powinny już teraz zacząć dostosowywać się do zmian wynikających z Dyrektywy NIS2. Tymczasem 25% z nich nie ma nawet świadomości, że dyrektywa ich dotyczy. Organizacje nie postrzegają także nowych regulacji jako priorytet – tylko 38% z nich planuje uruchomić oddzielny projekt w związku z wdrożeniem NIS2.
Zdaniem 45% ankietowanych dużym wyzwaniem na drodze do wdrożenia NIS2 jest brak odpowiedniej liczby specjalistów w tym obszarze. Z kolei co czwarta organizacja (28%) uważa, że dysponuje nieadekwatnym budżetem. Z badania wynika, że wprowadzenie nowych regulacji spowoduje wzrost środków na cyberbezpieczeństwo jedynie u 34% firm.
Warto zauważyć, że wiele organizacji jeszcze nie zdaje sobie sprawy z tego, że dyrektywa NIS2 ich dotyczy oraz nie wszystkie traktują te regulacje jako priorytet.
Świadomość nowych regulacji zapewne pojawi się wraz ze wzrostem zainteresowania u podmiotów, które niejako przodować będą we wdrażaniu systemu bezpieczeństwa zgodnego z NIS2 oraz wymagać będą odpowiednich standardów od swoich dostawców. Pomimo faktu, że pierwszym bodźcem do zmian oczywiście są ustawy, to za chwilę wymagania w obszarze cyberbezpieczeństwa prawdopodobnie będą twardo wymagane przez rynek, co w praktyce da szansę na wzrost poziomu bezpieczeństwa w całej gospodarce. Już teraz należy rozważyć wdrażanie i rozwijanie stosownych środków bezpieczeństwa.
Czytaj więcej: 5 najważniejszych informacji dotyczących NIS2
AUTORKA: Paulina Wójcik, Specjalistka ds. sprzedaży, Outsourcing IT