NIS2 – co to jest i od kiedy obowiązuje?

Z początkiem 2023 roku weszła w życie unijna dyrektywa NIS 2, wprowadzająca kolejne zmiany w zakresie cyberbezpieczeństwa. Co nowe przepisy oznaczają dla firm i które podmioty w związku z aktualizacją obowiązujących w Polsce od 2018 roku przepisów NIS będą musiały spełnić dodatkowe wymogi w zakresie bezpieczeństwa cybernetycznego? Zapraszamy do lektury naszego artykułu, z którego dowiesz się wszystkiego, co trzeba wiedzieć na temat aktualizacji unijnych norm. Sprawdź, czy Twoja firma musi przygotować się na NIS2.

Czym jest dyrektywa NIS2?

Wprowadzone niedawno nowe prawo Unii Europejskiej ma na celu zapewnienie odpowiednich środków prawnych dla zwiększenia ogólnego standardu bezpieczeństwa cybernetycznego na terenie wszystkich państw członkowskich UE. Dyrektywa NIS2, której pełna nazwa brzmi: „Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) 2016/1148 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148” precyzuje kwestie dotyczące oceny i zarządzania ryzykiem, usprawnia reagowanie na zagrożenia cybernetyczne oraz wprowadza obowiązek raportowania zdarzeń zagrażających bezpieczeństwu cyfrowemu na obszarze Unii Europejskiej.

Od kiedy obowiązuje i kogo dotyczy NIS2?

Nowe przepisy weszły w życie 16 stycznia 2023 roku, a sam dokument przyjęty został przez Parlament Europejski kilka miesięcy wcześniej – 10 listopada 2022. Warto dodać, że dyrektywa precyzuje obowiązujące od 2016 roku przepisy, które w Polsce funkcjonowały jako Ustawa o krajowym systemie bezpieczeństwa, wprowadzając istotne zmiany do prawa. Poszukując informacji na temat tego, czym jest NIS 2 i od kiedy obowiązuje, warto zwrócić uwagę na długi termin vacatio legis. Kraje członkowskie mają 20 miesięcy na dostosowanie swoich wewnętrznych aktów prawnych do wymogów nowej dyrektywy UE. Oznacza to, że zmian zgodnych z założeniami NIS 2 w Polsce powinniśmy doczekać się nie później niż 17 października 2024 roku. Dzień po tym terminie nowe przepisy będą już obowiązywały we wszystkich państwach należących do Unii Europejskiej.

Jednym z podstawowych powodów nowelizacji unijnego prawodawstwa było niedoszacowanie liczby podmiotów objętych pierwszą wersją dyrektywy. Rzeczywistość pokazała, że pierwotne brzmienie przepisów NIS nie obejmuje swoim zasięgiem wielu strategicznych sektorów gospodarki, a także, że nie wszystkie podmioty zobligowane do jej przestrzegania wywiązują się ze swoich obowiązków. W związku z tym nowa legislacja rozszerza katalog podmiotów objętych dodatkowymi obowiązkami z zakresu cyberbezpieczeństwa.

Uaktualnione przepisy odchodzą od podziału na operatorów usług kluczowych oraz dostawców usług cyfrowych, znanego z pierwszej wersji dyrektywy NIS. Zamiast niego, w znowelizowanym akcie prawnym znalazły się podmioty kluczowe oraz podmioty ważne. Obowiązek dostosowania się do nowych przepisów mają zarówno branże podlegające starej dyrektywie, jak i wiele podmiotów nieobjętych dotychczas tymi przepisami. Do pierwszej grupy należą: dostawcy usług cyfrowych, ochrona zdrowia, transport, infrastruktura bankowa, rynki finansowe, wodociągi, energetyka oraz infrastruktura cyfrowa.

NIS 2 wprowadza zmiany, które obowiązują także dla szeregu dodatkowych podmiotów, z takich sektorów jak:

• administracja publiczna,
• zarządzanie wodą i ściekami,
• dostawcy sieci publicznych lub usług komunikacji elektronicznej,
• sieci społecznościowe oraz centra danych,
• przestrzeń kosmiczna,
• produkcja żywności,
• usługi kurierskie oraz poczta,
• przemysł farmaceutyczny, medyczny oraz chemiczny.

Wstępne szacunki pokazują, że oprócz podmiotów już ujętych w pierwszej dyrektywie, kolejne kilka tysięcy firm w Polsce będzie musiało dostosować swoje standardy bezpieczeństwa cybernetycznego do znowelizowanych przepisów, które zaczną obowiązywać w drugiej połowie 2024 roku.

NIS a NIS2 – najważniejsze zmiany

W porównaniu z pierwszą wersją dyrektywy zmiany w NIS 2 są daleko idące i nie dotyczą jedynie rozszerzenia katalogu branż podlegających nowemu ustawodawstwu. Zwiększa się również wysokość kar nakładanych na podmioty, które nie wywiązują się z nałożonych na nie obowiązków. Po zmianach mają one wynosić odpowiednio:

• dla podmiotów kluczowych – do 10 mln Euro lub 2% łącznego światowego obrotu,
• dla podmiotów ważnych – do 7 mln Euro lub 1,4% łącznego światowego obrotu.

Oprócz tych zmian dyrektywa NIS 2 wprowadza również konkretne narzędzia, które muszą być stosowane przez organizacje podlegające nowym przepisom.

Warto zwrócić uwagę na fakt, że dyrektywa zrównuje obowiązki w zakresie cyberbezpieczeństwa dla podmiotów kluczowych i ważnych, jednocześnie wprowadzając nowe narzędzia nadzorcze, takie jak kontrole doraźne, wspomniane już kary pieniężne czy odpowiedzialność indywidualna osób decyzyjnych, zobowiązanych do zapewnienia przestrzegania przepisów NIS2.

Audyt bezpieczeństwa zgodny z NIS2

Jeśli Twoja firma lub organizacja zalicza się do grona podmiotów kluczowych lub ważnych, masz obowiązek dostosować standardy bezpieczeństwa cybernetycznego do nowych unijnych przepisów. Warto już teraz wdrożyć niezbędne działania aby uniknąć błędów wynikających z pośpiesznego dostosowywania procedur do zmian wprowadzonych przez NIS 2. Pierwszym krokiem do poprawy cyberbezpieczeństwa jest przeprowadzenie szczegółowego audytu, który powinien koncentrować się na kilku strategicznych, wymienionych poniżej obszarach.

Zdefiniowanie zakresu audytu

Na wstępie należy określić, które zasoby, systemy i infrastruktura informatyczna zostaną poddane kontroli. Trzeba również wskazać jego cele i oczekiwane wyniki.

Identyfikacja krytycznych zasobów sieci

Zgodnie z dyrektywą obowiązek raportowania incydentów wymaga ich wykrycia i dokładnej oceny, a te możliwe są jedynie pod warunkiem zidentyfikowania kluczowych obszarów i zasobów sieciowych należących do organizacji.

Ocena stanu bezpieczeństwa

Kolejnym krokiem jest szczegółowa analiza cyberbezpieczeństwa organizacji. Należy skupić się przede wszystkim na wykryciu potencjalnych luk w zabezpieczeniach oraz na rozwiązaniach, które pozwolą je usunąć za pomocą posiadanych narzędzi lub poprzez wdrożenie zupełnie nowych systemów.

Ocena ryzyka

Dokonanie oceny ryzyka pozwala zidentyfikować potencjalne zagrożenia i słabe punkty w systemie. Pomaga też określić prawdopodobieństwo wystąpienia incydentów oraz ich wpływ na organizację.

Testy penetracyjne

Audyt cyberbezpieczeństwa może również zakładać przeprowadzenie testów penetracyjnych, mających na celu identyfikację luk w zabezpieczeniach systemowych poprzez symulację ataków z zewnątrz lub incydentów wewnętrznych.

Kontrola dostępu

Ważnym punktem jest weryfikacja poziomu kontroli poszczególnych zasobów oraz upewnienie się, że dane są właściwie chronione przed nieautoryzowanym dostępem. Warto w tym celu skorzystać z odpowiednio skonfigurowanego systemu klasy NAC.

Wzmocnienie zabezpieczeń

W celu zwiększenia poziomu ochrony warto stawiać na rozwiązania kompleksowe z uwagi na fakt, iż implementacje etapowe lub punktowe mogą prowadzić do nadmiernego obciążania infrastruktury oraz powstania luk w widoczności.

Polityka reagowania na incydenty

Elementem audytu zgodnego z NIS 2 jest także stworzenie procedur i modeli reagowania na zdarzenia związane z naruszaniem bezpieczeństwa cybernetycznego. Podmioty ważne i kluczowe obowiązuje wymóg szybkiej oraz adekwatnej reakcji na zagrożenia, pozwalającej minimalizować ryzyko wystąpienia kolejnych incydentów.

Poza tym, istotnymi elementami audytu bezpieczeństwa prowadzonego pod kątem NIS2 są:

• identyfikacja organów, w tym krajowych i międzynarodowych zespołów, z którymi powinna współpracować organizacja w zakresie cyberbezpieczeństwa,
• sprawdzenie, czy organizacja korzysta z rozwiązań threat intelligence bądź wzbogacania danych,
• upewnienie się, że posiadane systemy zabezpieczeń ułatwiają reagowanie na przypadki naruszenia bezpieczeństwa,
• wypracowanie metryk bezpieczeństwa oraz planu reagowania na incydenty.

Przygotuj się na NIS2 z Grandmetric

Wprowadzenie drugiej dyrektywy cyberbezpieczeństwa oznacza spore wyzwanie dla wielu przedsiębiorstw, dla których w Polsce obowiązywać będzie nowe prawodawstwo. Warto już dziś szczegółowo przeanalizować posiadaną infrastrukturę oraz zasoby sieciowe, by upewnić się, że zabezpieczenia spełniają wymogi NIS2 lub wdrożyć narzędzia, które pozwolą dopasować standard cyberbezpieczeństwa organizacji do nowych wymogów.

Jeśli potrzebujesz pomocy w przygotowaniu swojej firmy na zmiany, które wprowadza NIS 2, już dziś skontaktuj się z nami i skorzystaj z pomocy ekspertów Grandmetric. Pomożemy Ci w precyzyjnym określeniu obowiązków wynikających z nowych przepisów, wykonamy audyt bezpieczeństwa oraz zaproponujemy kompleksowe, dopasowane do Twoich potrzeb rozwiązania, pozwalające zapewnić niezbędny poziom ochrony.