Rozwój technologiczny przedsiębiorstw powoduje również wzrost zagrożenia cybernetycznego i większe możliwości hakerów oraz osób zainteresowanych nielegalnym pozyskiwaniem danych.

Dyrektywa NIS2 (Network and Information System Directive 2), której przepisy obowiązują od 17.10.2024r to regulacja prawna, mająca na celu zapewnienie wysokiego, jednolitego poziomu cyberbezpieczeństwa i wzmocnienia współpracy międzynarodowej w zwalczaniu cyberataków w UE. Zmienia dyrektywę NIS 1 z 2016r wprowadzając rygorystyczne przepisy dotyczące zarządzania ryzykiem i raportowania incydentów, rozszerzając zakres o kolejne branże oraz nakładając surowe kary za nieprzestrzeganie przepisów.

Nowe przepisy obowiązują we wszystkich krajach UE od 17.10.2024r, nawet w przypadku braku  krajowych wytycznych.

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) zebrała informacje (1350 podmiotów ze wszystkich państw członkowskich UE.) w jaki sposób organizacje objęte dyrektywą NIS2 planują swoje budżety na ochronę przed zagrożeniami cyfrowymi i zabezpieczają się w obliczu nowych wymagań regulacyjnych, wyzwań związanych z personelem oraz rozwojem sztucznej inteligencji. W odpowiedzi na rosnącą liczbę cyberzagrożeń firmy w Unii Europejskiej intensyfikują wydatki na bezpieczeństwo IT. Ten trend wynika z konieczności ochrony danych klientów oraz zachowania ciągłości działania w coraz bardziej cyfrowym środowisku biznesowym.Z badania ENISA wynika, że większość organizacji przewiduje jednorazowe lub stałe zwiększenie swoich budżetów na cyberbezpieczeństwo w celu zapewnienia zgodności z NIS2. Aż 9 na 10 podmiotów spodziewa się wzrostu liczby cyberataków w 2025r. zarówno pod względem ich liczby, jak i kosztów obsługi.

Dyrektywa NIS 2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne dzieląc je na podmioty kluczowe i podmioty ważne.

Podmioty kluczowe (essential entities)  –  (zał. nr. 1 dyrektywy):  energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna (w tym podmioty produkujące leki, wyroby medyczne, oraz oczywiście szpitale i placówki medyczne), sektor wody pitnej, ścieki, infrastruktura cyfrowa (między innymi dostawcy usług chmurowych, ośrodki przetwarzania danych, dostawcy punktu wymiany ruchu internetowego) zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.

Podmioty ważne ( important entities)  – (zał. nr 2 dyrektywy): usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja, w bardzo szerokim zakresie m. in.: produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, produkcja pojazdów samochodowych, przyczep i naczep ,produkcja pozostałego sprzętu transportowego, dostawcy usług cyfrowych, organizacje badawcze.

Prognozy wskazują, że zobowiązanych do dostosowania swoich standardów bezpieczeństwa do nowych przepisów będzie w Polsce kilka tysięcy firm. Przepisy dotyczą podmiotów publicznych, jak też średnich i dużych przedsiębiorstw z sektora prywatnego na terenie UE.

Czy moja firma jest objęta obowiązkiem wdrożenia i stosowania NIS 2?

1. Podmiot, który zatrudnia powyżej 50 pracowników, ale ma obroty poniżej 10 mln €,
2. Podmiot , który nie zatrudnia 50 pracowników, ale posiada obroty10 mln €,
3. Klasyfikacja podmiotów jako ważne czy kluczowe jest dokonywana nie tylko na podstawie liczby pracowników czy wielkości obrotów, lecz także na podstawie znaczenia świadczonych usług (sektory). Uwaga: NIS 2 przyjmuje zasadę samookreślenia podmiotu w zakresie przynależności do określonego sektora na podstawie faktycznej działalności spółki, a nie wyłącznie na podstawie jej kodu PKD.

Jakie działania musi podjąć  firma  w związku z NIS 2?   

1. Przeprowadzić audyt systemu informatycznego (audyt cyberbezpieczeństwa), który umożliwi określenie poziomu bezpieczeństwa i zgodności z wymaganiami NIS2, a także wskaże obszary wymagające poprawy,
2. Opracować Planu Ciągłości Działania tzn. reagowania na incydenty:

• stworzyć szczegółowe wytyczne dla personelu dotyczące oceny ryzyka,
• prowadzić analizę kosztów/korzyści dla podjętego środka ochrony,
• przygotować listę aktywów wraz z przypisanymi do nich środkami ochrony,
• dokumentować decyzje dotyczące działań.

Kary za naruszenie NIS 2

Dyrektywa NIS 2 nakłada surowe kary za nieprzestrzeganie przepisów:

• Podmioty kluczowe – co najmniej 10 mln.€ lub 2% łącznego rocznego obrotu.
• Podmioty ważne – co najmniej 7 mln. € lub 1,4% łącznego rocznego obrotu.

Zawsze jest stosowana większa kwota, a dyrektywa przewiduje również możliwość  nakładania okresowych kar pieniężnych, aby wymusić przestrzegania przepisów.

Podsumowanie

W Polsce wdrożenie dyrektywy NIS2 będzie regulowane przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), ale na razie mamy opóźnienie w dostosowaniu krajowego prawa. Daty ostatnich modyfikacji przygotowanych przez Ministerstwo Cyfryzacji to 18 i 23.12.2024r.

Wdrożenie NIS 2 to nie tylko spełnienie wymogów formalno- prawnych, ale przede wszystkim budowanie cyberodporności i bezpieczeństwa biznesu. Niepokojącym jest fakt, że co czwarta firma nie wie, czy podlega dyrektywie NIS2! Zamiast czekać na krajowego ustawodawcę, warto przygotować się wcześniej.

 

Teresa Grabowska  TG- Doradztwo i Zarządzanie