Jak przygotować się do dyrektywy NIS2? Przewodnik po wymogach

HomeResourcesArtykułyJak przygotować się do dyrektywy NIS2? Przewodnik po wymogach

W obliczu rosnących zagrożeń cybernetycznych, dyrektywa NIS2 stanowi kolejny krok Unii Europejskiej w sprawie środków zapewnienia wysokiego i wspólnego poziomu cyberbezpieczeństwa na terytorium wszystkich państw członkowskich. Wprowadzona 16 stycznia 2023 r. nakłada szereg nowych obowiązków na dostawców usług cyfrowych, operatorów usług podstawowych oraz podmioty kluczowe, zwiększając ich odpowiedzialność w zakresie bezpieczeństwa sieci i systemów informatycznych. Dyrektywa parlamentu europejskiego ma kluczowe znaczenie dla każdej organizacji będącej podmiotem kluczowym lub ważnym, który świadczy konsumentom usługi na terenie UE.

Przeczytaj artykuł i dowiedz się, jak przygotować się do spełnienia wymogów nowej dyrektywy, jakie obowiązki ciążą na firmach oraz jakie zmiany z zakresu cyberbezpieczeństwa należy wdrożyć zgodnie z dyrektywą NIS2.

Jakie podmioty są objęte dyrektywą NIS2?

W państwach członkowskich UE właściwe organy krajowe mają za zadanie określenie, które firmy podlegają pod przepisy dyrektywy NIS2. Kluczowe znaczenie ma sposób klasyfikacji przedsiębiorstw, gdzie pod uwagę brany jest ich roczny przychód, liczba pracowników oraz prawdopodobieństwo wystąpienia incydentów zagrażających cyberbezpieczeństwu na terytorium Unii. Podmioty kluczowe są poddawane różnym rygorom kontroli nadzorczej, co obejmuje ścisłe procedury raportowania i współpracy z organami zarządzającymi.

Rozszerzenie zakresu infrastruktury cyfrowej

W porównaniu do wcześniejszej dyrektywy NIS1, NIS2 obejmuje rozszerzenie zakresu infrastruktury cyfrowej, a co za tym idzie – poważne incydenty bezpieczeństwa komputerowego będą musiały być szybciej i dokładniej zgłaszane do właściwych organów. Nowe przepisy obejmują teraz dodatkowe sektory. Przykłady obejmują dostawców internetu, operatorów usług kluczowych, dostawców usług zaufania, instytucje opieki zdrowotnej, przedsiębiorstwa dostarczające wodę pitną, fabryki produkujące żywność, dostawców energii, a nawet przetwórców odpadów i administrację publiczną. 

W NIS2 wskazano na 18 sektorów gospodarki, z których podmioty (prywatne lub publiczne) będą zobowiązane do wdrożenia wzmocnionych wymagań cyberbezpieczeństwa. Wśród nich wymienia się m.in.:

  • przedsiębiorców komunikacji elektronicznej,
  • sektor żywności,
  • sektor motoryzacyjny,
  • podmioty administracji publicznej,
  • podmioty gospodarowania odpadami,
  • producentów np. komputerów,
  • producentów chemikaliów.

Jakie są nowe wymogi bezpieczeństwa, które wprowadza dyrektywa NIS2?

Dyrektywa NIS2 narzuca nowe standardy, które muszą być spełnione przez spółki objęte regulacją. W krajowym systemie cyberbezpieczeństwa organizacje muszą wdrożyć kompleksowe polityki zarządzania ryzykiem

Politykę analizy ryzyka narzuca podejście oparte na dokładnym zrozumieniu potencjalnych cyberzagrożeń oraz działań, które mogą być przypuszczalnie wywołane działaniem bezprawnym. Szczególne znaczenie ma bezpieczeństwo łańcucha dostaw, obejmujące zarówno techniczne, jak i organizacyjne środki ochrony.

Kluczowe obszary działań to:

  • Zapobieganie, wykrywanie i reagowanie na incydenty;
  • Utrzymanie ciągłości działania i zarządzanie kryzysowe;
  • Bezpieczeństwo łańcucha dostaw;
  • Cyberhigiena oraz szkolenia;
  • Bezpieczeństwo sieci i systemów informacyjnych;
  • Polityka zarządzania i zgłaszania podatności;
  • Bezpieczeństwo zasobów ludzkich, zarządzanie dostępami i aktywami;
  • Uwierzytelnianie wieloskładnikowe oraz ciągłe;
  • Stosowanie kryptografii i szyfrowania.

Obowiązki raportowania i terminy

Zgłaszanie incydentów jest jednym z najważniejszych elementów NIS2. Operatorzy usług kluczowych oraz dostawcy usług cyfrowych muszą zgłaszać poważne naruszenia w odpowiednich terminach. Termin składania sprawozdania końcowego wynosi 1 miesiąc od daty zgłoszenia lub zakończenia incydentu. Wcześniej, w ciągu 24 godzin, należy dostarczyć wstępne ostrzeżenie o incydentach bezpieczeństwa komputerowego, a pełne zgłoszenie musi być dostarczone do właściwych organów w ciągu 72 godzin.

Jakie są kary i sankcje za nieprzestrzeganie przepisów NIS2?

W przypadku nieprzestrzegania przepisów NIS2, państwa członkowskie UE przewidują surowe sankcje finansowe. Podmioty kluczowe mogą zostać ukarane grzywną do 10 mln EUR lub 2% rocznego obrotu, podczas gdy podmioty ważne – do 7 mln EUR lub 1,4% obrotu. Kary te mają na celu zapewnienie przestrzegania przepisów i promowanie wysokiego poziomu cyberbezpieczeństwa na całym terenie UE.

Jak przygotować swoją organizację do NIS2?

Każda organizacja prowadząca działalność w UE powinna już teraz przystąpić do przygotowań związanych z wdrożeniem środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Od czego należy zacząć?

Zidentyfikuj, czy Twoja firma podlega dyrektywie NIS2

Pierwszym krokiem w przygotowaniach jest określenie, czy Twoja firma znajduje się w grupie podmiotów, których dotyczą nowe przepisy. Dyrektywa NIS2 obejmuje szeroki wachlarz sektorów, w tym energetykę, transport, finanse, ochronę zdrowia, dostawców usług cyfrowych, a także inne kluczowe gałęzie gospodarki. Jeśli świadczysz usługi podstawowe lub działasz w sektorach objętych regulacjami, musisz przygotować się na wdrożenie nowych środków bezpieczeństwa.

Przeanalizuj aktualne procedury bezpieczeństwa

Kolejnym krokiem powinno być zbadanie, czy obecne procedury w Twojej firmie spełniają wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych. Analiza powinna obejmować takie elementy jak procedury stosowania kryptografii, zabezpieczenia danych, zgłaszania incydentów oraz monitorowanie zagrożeń. Przedsiębiorstwa muszą dostosować swoje procedury do nowych wymagań dyrektywy NIS2 i przygotować się w sprawie środków zapobiegawczych na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa.

Przeprowadź wdrożenie nowych środków bezpieczeństwa

Firmy muszą wprowadzić stosowanie uwierzytelniania wieloskładnikowego, a także przestrzegać rygorystycznych norm w krajowym systemie cyberbezpieczeństwa. W ramach przygotowań do NIS2 konieczne jest wprowadzenie lub aktualizacja kluczowych środków ochrony:

  • Polityki utrzymania sieci – upewnij się, że sieci i systemy informatyczne są na bieżąco aktualizowane, a dostęp do nich jest kontrolowany i monitorowany.
  • Stosowanie kryptografii – szyfrowanie danych powinno być standardem, zwłaszcza w przypadku wrażliwych informacji.
  • Procedury nabywania technologii informatycznych – przemyśl proces zakupu oprogramowania i sprzętu pod kątem ich bezpieczeństwa. Dotyczy to także rozwiązań open source, które mogą stanowić lukę w zabezpieczeniach, jeśli nie są właściwie zarządzane.

Jakie procedury są kluczowe w zakresie cyberbezpieczeństwa?

Przygotowanie się do wdrożenia NIS2 wymaga kompleksowego podejścia do zagadnień w zakresie cyberbezpieczeństwa. Opracowanie jasnej strategii i dostosowanie procedur do nowych wymogów pomoże uniknąć wysokich kar oraz zabezpieczy firmę przed rosnącymi zagrożeniami cyfrowymi. Podmioty kluczowe i ważne powinny wdrożyć szereg następujących procedur:

  • Monitorowanie i raportowanie incydentów — organizacja musi być gotowa na szybkie reagowanie na cyberataki. Wymaga to wdrożenia systemów monitorowania, które wykryją problemy, oraz procesów do raportowania incydentów w odpowiednim czasie.
  • Analiza ryzyka — konieczna jest identyfikacja zagrożeń, ocena ich wpływu i wprowadzenie środków zapobiegawczych. Pozwoli to na ochronę kluczowych obszarów, których potencjalnie dotyczy poważne cyberzagrożenie.
  • Zarządzanie incydentami — wiele firm nie posiada odpowiedniego personelu, by samodzielnie zarządzać incydentami. W takich przypadkach warto rozważyć współpracę z zewnętrznymi dostawcami usług cyberbezpieczeństwa, którzy mogą wesprzeć firmę w sytuacjach kryzysowych oraz monitorować bezpieczeństwo na bieżąco.
  • Zarządzanie ciągłością działania NIS2 kładzie duży nacisk na utrzymanie ciągłości operacji w przypadku cyberincydentów. Oznacza to konieczność posiadania procedur nie tylko na wypadek awarii systemów, ale także na odzyskiwanie danych i przywracanie działalności operacyjnej. Zarządzanie kryzysowe powinno obejmować pełne wsparcie zarówno techniczne, jak i organizacyjne, aby minimalizować skutki przerw w funkcjonowaniu.
  • Bezpieczeństwo w łańcuchu dostaw — firmy muszą dbać o to, by partnerzy biznesowi również stosowali odpowiednie środki bezpieczeństwa, ponieważ ataki na ich infrastrukturę mogą wpłynąć na funkcjonowanie całej sieci. 
  • Zarządzanie lukami w zabezpieczeniach — monitorowanie i szybkie usuwanie luk w systemach to kluczowy element prewencji. Regularne skanowanie i aktualizacje są niezbędne, by uniknąć poważnych incydentów.
  • Uwierzytelnianie wieloskładnikowe (MFA) dyrektywa NIS2 wymaga wdrożenia MFA, które dodają dodatkową warstwę ochrony. Weryfikacja tożsamości użytkownika przy użyciu kilku metod minimalizuje ryzyko nieautoryzowanego dostępu.

Wsparcie w procesie wdrożenia

Dostosowanie się do wymogów dyrektywy może być trudne, dlatego wiele firm decyduje się na współpracę z zewnętrznymi ekspertami w dziedzinie cyberbezpieczeństwa. Specjaliści mogą pomóc w ocenie gotowości firmy, a także w opracowaniu strategii, która zagwarantuje zgodność z nowymi regulacjami.

Podsumowanie

Dyrektywa NIS2 jest kluczowym elementem dążenia Unii Europejskiej do zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa na całym jej terytorium. Państwa członkowskie mają czas do 18 października 2024 r., aby wdrożyć nowe przepisy do prawa krajowego. Tymczasem organizacje powinny już teraz przygotować się na te zmiany poprzez wprowadzenie odpowiednich procedur i środków. Operatorzy usług kluczowych, dostawcy usług cyfrowych, instytucje opieki zdrowotnej i inne przedsiębiorstwa muszą być gotowe na nowe wyzwania w zakresie ochrony swoich sieci i systemów informatycznych.

Wdrożenie odpowiednich środków pomoże nie tylko w uniknięciu kar, ale także w zwiększeniu bezpieczeństwa operacyjnego, co jest kluczowe w czasach rosnących zagrożeń cybernetycznych.

Andrzej Marchewka

Client Partner | C&F

For the past 15 years, he has worked in Customer Service departments, where he is responsible for the highest level of service. For about 8 years, he has been directly involved in Digital Transformation and Digitalization of processes at the Customers he takes care of. His previous experience was gained in Banking, and Companies related to Data Processing and Security. He always tries to find the solution that is best for each Client, because he knows that no two processes are the same, even if they are similar. If necessary - he will fly to your office or factory and conduct workshops to find the most optimal solution.

Rozwiązania biznesowe

Platforma AdaptiveGRC oferuje szereg modułów ułatwiających zarządzanie działaniami GRC w Twojej firmie spejniając najnowsze wymogi regulacyjne (DORA, NIS2).

Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
ZAREZERWUJ KONSUTLACJĘ

Usprawnij swoje działania GRC dzięki AdaptiveGRC
Uzyskuj szybsze wyniki.

  • Wypełnij formularz.
  • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
  • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
  • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    NASZE RECENZJE

    Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

    Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

    AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

    Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe Pracownicy: 2-10

    Wszechstronna platforma do zarządzania ryzykiem i zgodnością

    Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

    Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe Pracownicy: 51-200

    Doskonałe narzędzie do kontroli zgodności

    Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

    Jasween K. Zgodność w branży farmaceutycznej Pracownicy: 10000+

    AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

    Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

    Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

    W nazwie AdaptiveGRC zawiera się wszystko

    Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

    D Scott C. Rozwój Biznesu | Biotechnologia Pracownicy: 2-10

    Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

    Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

    Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość Pracownicy: 10000+

    Świetne wsparcie dla firmy ubezpieczeniowej

    Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

    Recenzent zweryfikowany Ubezpieczenia Pracownicy: 201-500