Czy Twoja firma jest gotowa na dyrektywę NIS 2?

Dyrektywa NIS 2: Nowe standardy bezpieczeństwa w Unii Europejskiej

Unia Europejska wprowadza nowe regulacje dotyczące cyberbezpieczeństwa, które mają na celu podniesienie poziomu ochrony przed cyberzagrożeniami na terenie Wspólnoty. Mowa o dyrektywie NIS2 (Network and Information Security), która zastępuje dotychczasową dyrektywę NIS i wprowadza szereg nowych obowiązków dla podmiotów z różnych sektorów gospodarki. Przyjrzyjmy się bliżej, kto jest odpowiedzialny za wprowadzenie tych regulacji, kogo one obejmują oraz jakie obowiązki i kary nakłada dyrektywa NIS2.

Od kiedy obowiązuje dyrektywa NIS 2?

Dyrektywa NIS2 weszła w życie w styczniu 2023 w związku z tym kraje członkowskie mają czas na jej implementację do 17 października 2024 roku. Oznacza to, że od tego momentu obowiązki wynikające z dyrektywy będą musiały być przestrzegane przez objęte nią podmioty.

Kogo obejmuje dyrektywa NIS2?

Dotychczasowa dyrektywa NIS wyróżniała operatorów usług kluczowych i dostawców usług cyfrowych natomiast nowa dyrektywa NIS 2 wprowadza podział na podmioty kluczowe (sektory: energetyki, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT, podmiotów administracji publicznej i przestrzeni kosmicznej) oraz podmioty ważne (sektory: usług pocztowych i kurierskich, gospodarowania odpadami, produkcji, przetwarzania i dystrybucji chemikaliów, produkcji, przetwarzania i dystrybucji żywności, (szeroko pojętej) produkcji, dostawców usług cyfrowych oraz badań naukowych.

Jakie obowiązki nakłada dyrektywa NIS2?

Podmioty objęte dyrektywą NIS2 muszą wdrożyć odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem oraz zapewnienia ciągłości działania. Do głównych obowiązków należą:

  • Wdrożenie mechanizmów zarządzania ryzykiem w kontekście cyberbezpieczeństwa m.in polityka analizy ryzyka i bezpieczeństwa systemów informatycznych, obsługa incydentu, ciągłość działania i zarządzanie kryzysowe;
  • Zgłaszanie incydentów bezpieczeństwa w czasie nie dłuższym niż 24 godziny od ich wykrycia.
  • Przeprowadzanie regularnych audytów bezpieczeństwa oraz analiz ryzyka.
  • Szkolenie pracowników w zakresie cyberbezpieczeństwa.

Jakie są kary za nieprzestrzeganie dyrektywy NIS 2?

Za nieprzestrzeganie przepisów dyrektywy NIS2 przewidziane są surowe sankcje finansowe, które mogą sięgać nawet do 10 milionów euro lub 2% globalnych rocznych przychodów firmy, w zależności od tego, która kwota jest wyższa. Dodatkowo, możliwe są inne sankcje, takie jak nakazy podjęcia odpowiednich działań naprawczych lub czasowe zawieszenie działalności.

Pełen tekst Dyrektywy NIS 2 jest dostępny na stronie EUR-lex.