NIS2 to nowy zbiór unijnych przepisów dotyczących bezpieczeństwa sieci i informacji oraz wymagających od organizacji ustanowienia podstawowych środków bezpieczeństwa w celu ograniczenia ryzyka cyberataków i poprawy ogólnego poziomu cybebezieczeństwa w całej UE. Przepisy obejmują 17 sektorów i weszły w życie w poździerniku 2024. Dyrektywa NIS2 ma na celu harmonizację wymagów cyberbezpieceństwa i ich egzekwowania. NIS2 kładzie duży nacisk na ocenę ryzyka, politykę i procedury dot. kryptogafii, procedury bezpieczeństwa dla pracowników mających dostep do danych wrażliwych, uwierzytelnianie wieloskładnikowe, szkolenia w zakresie cybrbezpieczeństwa, łańcuch dostaw oraz bezpieczeństwo danych.
W Polsce implementacją poprzedniej wersji Dyrektywy NIS jest Ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązująca od 28 sierpnia 2018 roku. Jest to pierwszy akt prawny w tym zakresie w naszym kraju. Aktualnie czekamy na nowelizację ustawy o KSC w kontekście NIS2.
W przypadku zaniechania lub niedopełnienie obowiązków wynikających z Dyrektywy NIS2 podaje minimalne i maksymalne wysokości administracyjnych kar pieniężnych za naruszenia przepisów.
Ponadto, państwa członkowskie mają ustanowić przepisy dotyczące kar mających zastosowanie w przypadku naruszeń przepisów krajowych przyjętych na podstawie tej dyrektywy i zapewnić ich wykonanie. Przewidziane kary mają być skuteczne, proporcjonalne i odstraszające.
Najważniejsze zmiany wprowadzone przez dyrektywę NIS2:
Zarządy podmiotów kluczowych i ważnych zatwierdzają środki na zarządzanie cyberbezpieczeństwem i odpowiadają za niepodejmowanie stosownych działań zaradczych.
Znacznie powiększono wysokość kar za niedostosowanie się do przepisów.
Zakres został rozszerzony na większą część gospodarki, obejmując więcej sektorów i podmiotów, w tym średnie i duże przedsiębiorstwa.
Zostały wyszczególnione konkretne środki zarządzania ryzykiem i obowiązki zgłaszania incydentów.
Dyrektywa NIS2 nakłada obowiązek oceny i uwzględnienia ryzyka związanego z łańcuchem dostaw i dostawcami.
[gdzie liczba pracowników > 250 oraz roczny obrót > 50 mln EUR]
[gdzie liczba pracowników > 50 oraz roczny obrót > 10 mln EUR]
Od ponad 10 lat działamy na rynku cyberbezpieczeństwa. Dzięki doświadczeniu we współpracy z największymi firmami w Polsce i za granicą oraz naszym kompetencjom z zakresu cyberbezpieczeństwa, jesteśmy w stanie udzielić wsparcia w dostosowaniu przedsiębiorstwa do obowiązujących przepisów. Wiemy, że jak wazne jest zrozumienie nowych wymogów, dlatego zalecamy skorzystanie z naszej usługi o nazwie "Cyber Audyt NIS2", która pozwala ocenić poziom bezpieczeństwa systemów informatycznych organizacji względem zgodności z dyrektywą NIS2.
W ramach usługi nasi eksperci przeprowadzają wnikliwą analizę infrastruktury IT, procesów biznesowych oraz stosowanych zabezpieczeń.
Poniżej przedstawiamy standardową 4-krokową procedurę postepowania przy pracach związanych z wdrażaniem dyrektywy NIS2 w organizacjach:
Przeprowadzenie oceny gotowości względem wymagań NIS2 i analiza luk w celu określenia aktualnego poziomu zgodności wraz z opracowaniem planu działań naprawczych.
Przegląd procesu oceny ryzyka stosowanego przez organizację oraz wypracowanie ewentualnych zmian i zasad zarządzania ryzykiem zgodnie z NIS2.
Przegląd bieżących procedur wykrywania, analizowania i zgłaszania incydentów oraz weryfikacja, czy procedury te zapewniają zgłoszenie incydentu zgodnie z wymaganiami NIS2.
Weryfikacja, czy organizacja ocenia ryzyko związane z bezpośrednimi dostawcami i usługodawcami oraz ogólną jakość ich produktów i praktyk w zakresie cyberbezpieczeństwa.
Po przeprowadzeniu powyżego audytu klient otrzymuje:
Jesteśmy gotowi rozpocząć prace w terminie 1-2 dni roboczych od daty podpisania umowy. Proponowany poniżej harmonogram projektu został opracowany na podstawie naszych doświadczeń ze zrealizowanych już audytów u innych klientów.
Ostateczny harmonogram zostanie ustalony po rozpoczęciu projektu.
Harmonogram oparty jest na założeniu, że dokumentacja niezbędna do analizy zostanie dostarczona zgodnie z uzgodnionymi terminami.
Klient z branży detalicznej
