[pix_img align=”text-center” el_class=”no-mobile” style=”” hover_effect=”” add_hover_effect=”” image=”3439″ width=”100%”]JTNDaDIlMjBjbGFzcyUzRCUyMnRleHQtc2l6ZS1tZWRpdW0lMjIlM0VPZCUyMHBvY3olQzQlODV0a3UlMjAyMDIzJTIwb2Jvd2klQzQlODV6dWplJTIwZHlyZWt0eXdhJTIwTklTMiUyQyUyMGt0JUMzJUIzcmElMjBha3R1YWxpenVqZSUyMGklMjBoYXJtb25penVqZSUyMHVuaWpuZSUyMHByemVwaXN5JTIwY3liZXJiZXpwaWVjemUlQzUlODRzdHdhJTIweiUyMDIwMTYlMjByLiUyMHpuYW5lJTIwamFrbyUyME5JUyUyQyUyMGElMjB3JTIwUG9sc2NlJTIwamFrbyUyMFVzdGF3YSUyMG8lMjBLcmFqb3d5bSUyMFN5c3RlbWllJTIwQ3liZXJiZXpwaWVjemUlQzUlODRzdHdhLiUyMEpha2llJTIwem1pYW55JTIwcHJ6eW5vc2klMjBOSVMyJTNGJTNDJTJGaDIlM0U=Parlament Europejski zmodernizował przepisy w odpowiedzi na dynamiczną cyfryzację życia i biznesu oraz rosnący poziom cyberzagrożeń. Celem nowej dyrektywy jest zwiększenie bezpieczeństwa cyfrowego, w tym poprawa odporności i zdolności reagowania na incydenty, podmiotów publicznych i prywatnych, właściwych organów państwowych i całej UE, a przy tym zapewnienie większego bezpieczeństwa odbiorcom świadczonych usług – wszystkim obywatelom UE. Uchwalone niedawno bardziej precyzyjne przepisy wzmacniają między innymi wymogi związane z zarządzeniem ryzykiem przez przedsiębiorstwa, a także usprawnią reagowanie, zarządzanie i obowiązki raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, czyli właściwy dokument o nazwie „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148” obowiązuje od 16 stycznia 2023 roku.JTNDaDIlMjBjbGFzcyUzRCUyMnRleHQtc2l6ZS1tZWRpdW0lMjIlM0VEbyUyMG5handhJUM1JUJDbmllanN6eWNoJTIwem1pYW4lMkMlMjBrdCVDMyVCM3JlJTIwd3Byb3dhZHphJTIwTklTMiUyMG5hbGUlQzUlQkMlQzQlODUlM0ElM0MlMkZoMiUzRQ==
- Zasadnicze modyfikacje w katalogu podmiotów podlegających dyrektywie, wprowadzenie tylko podmiotów kluczowych i ważnych.
- Zrównanie obowiązków podmiotów kluczowych oraz podmiotów ważnych dotyczące cyberbezpieczeństwa.
- Nowe możliwości egzekwowania przepisów, nadane nowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak:
- Stosowanie kontroli doraźnych wobec podmiotów kluczowych.
- Nakładanie administracyjnych kar pieniężnych na podmioty kluczowe i ważne.
- Odpowiedzialność indywidualna. Osoba fizyczna, odpowiedzialna za podmiot kluczowy lub ważny, lub działająca w charakterze przedstawiciela prawnego tego podmiotu, na podstawie uprawnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli będzie mogła być pociągnięta do odpowiedzialności za niewywiązanie się z obowiązku zapewnienia przestrzegania niniejszej dyrektywy.
JTNDaDIlMjBjbGFzcyUzRCUyMnRleHQtc2l6ZS1tZWRpdW0lMjIlM0VLb2dvJTIwb2Jvd2klQzQlODV6dWplJTIwbm93YSUyMGR5cmVrdHl3YSUyME5JUzIlM0YlM0MlMkZoMiUzRQ==Zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dokument wskazuje obowiązki dla podmiotów kluczowych i podmiotów ważnych. Obowiązki te zostaną określone poprzez implementację NIS2 do porządku krajowego nie później niż na przełomie września i października 2024 roku.
W zakres podmiotów objętych dyrektywą wchodzą podmioty z państw członkowskich Unii Europejskiej spełniające wymogi średniego przedsiębiorstwa w myśl prawa UE. Sektory kluczowe wymienione zostały w załączniku I do dyrektywy, a ważne w załączniku II.
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
- Zarządzanie usługami ICT
- Podmioty administracji publicznej
- Przestrzeń kosmiczna
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja:
- wyrobów medycznych
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- maszyn i urządzeń, gdzie indziej niesklasyfikowana
- pojazdów samochodowych, przyczep i naczep
- pozostałego sprzętu transportowego
- Dostawcy usług cyfrowych:
- internetowych platform handlowych
- wyszukiwarek internetowych
- platform usług sieci społecznościowych
- Badania naukowe
Do 27 miesięcy od dnia wejścia w życie NIS2, państwa członkowskie ustanowią wykaz podmiotów kluczowych i ważnych. Według dyrektywy, ich zadaniem jest podjęcie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami, na jakie są narażone sieci i systemy wykorzystywane do świadczenia usług. W Polsce szacuje się, że będzie to kilka tysięcy firm.JTNDaDMlMjBjbGFzcyUzRCUyMnRleHQtc2l6ZS1tZWRpdW0lMjIlM0VKYWtpZSUyMG5handhJUM1JUJDbmllanN6ZSUyMG9ib3dpJUM0JTg1emtpJTIwd3NrYXp1amUlMjBkeXJla3R5d2ElMjBOSVMlMjAyJUMyJUEwZGxhJTIwcG9kbWlvdCVDMyVCM3clMjBrbHVjem93eWNoJTIwb3JheiUyMHdhJUM1JUJDbnljaCVDMiVBMGpha28lMjBrb25pZWN6bmUlMjBkbyUyMGltcGxlbWVudGFjamklMjB3JTIwa3Jham93eWNoJTIwcG9yeiVDNCU4NWRrYWNoJTIwcHJhd255Y2glM0ElM0MlMkZoMyUzRQ==Dynamiczna analiza ryzyka i środki zarządzania ryzykiem
Dynamiczna analiza ryzyka powinna uwzględniać zmiany techniczne, legislacyjne oraz zmiany w rodzajach i typach cyberzagrożeń. Dlatego powinna również wykorzystywać feedy z systemów Cyber Threat Intelligence (CTI) oraz informacje z działu compliance lub prawnego.
Polityki bezpieczeństwa systemów teleinformatycznych
Spełnieniem tego wymogu jest zbudowanie i wdrożenie w organizacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO 27001.
Zarządzanie incydentami
W organizacji powinien zaistnieć proces zarządzania incydentami, zaimplementowany w ład korporacyjny organizacji np. w System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO 27001.
Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu
Podmioty objęte dyrektywą muszą wdrożyć standardowe procedury operacyjne utrzymywania kontaktów w ramach systemu raportowania odpowiednim CSIRT’om i organom nadzorczym. Obowiązek raportowania dotyczy zarówno samego faktu wystąpienia incydentu, jak i wszelkich zagrożeń mogących doprowadzić do jego powstania.
Bezpieczeństwo łańcucha dostaw
Stosunki i relacje pomiędzy podmiotem a jego dostawcami lub usługodawcami powinny regulować polityki i procedury bezpieczeństwa zapewniające bezpieczne i ciągłe świadczenie usługi.
Plan ciągłości działania i zarządzania kryzysowego, w tym kopiami zapasowymi
System Zarządzania Ciągłością Działania — Business Continuity Plan (BCP) jest niezbędny do przywracania produkcji, procesów biznesowych i usług, w przypadku wystąpienia np. incydentu cyberbezpieczeństwa.
Polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń
Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni powinny znajdować się w Systemie Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnym z ISO 27001.
Kryptografia i szyfrowanie
Stopień korzystania z kryptografii i szyfrowania powinien być adekwatny do poziomu ryzyka wystąpienia incydentu bezpieczeństwa. Dlatego polityki i procedury obejmujące ten obszar powinny być bezpośrednio powiązane z analizą ryzyka i zasadami klasyfikacji informacji.
Szkolenia z cyberbezpieczeństwa
Konieczne są szkolenia z cyberbezpieczeństwa przede wszystkim dla kadry menadżerskiej, ale również dla pozostałych pracowników w zależności od stopnia wykorzystania w ich codziennych zadaniach systemów teleinformatycznych.
Jeżeli twoja organizacja została objęta nową dyrektywą unijną, skontaktuj się z ekspertami firmy ComCERT, aby:
- Dokładnie określić obowiązki nałożone przez nowe prawo unijne.
- Zidentyfikować lukę pomiędzy obowiązującymi dokumentami i praktykami a wymogami dyrektywy.
- Omówić rozwiązania, które spełnią wymogi NIS2.
- Wybrać usługi/produkty ComCERT, które najbardziej pasują do potrzeb Twojej organizacji.
- W efekcie wspólnych działań uzyskać zgodność z nowym wspólnotowym prawem dotyczącym cyberbezpieczeństwa.
Skontaktuj się z nami.
Błąd: Brak formularza kontaktowego.