.

Data:
24.01.2024
Autor:
Zespół Inventia

Dowiedz się:

• Czym jest Dyrektywa NIS2?

• Termin wdrożenia Dyrektywy NIS2

• Kryteria, które należy spełnić, aby wdrożyć Dyrektywę NIS2

• Co zmienia Dyrektywa NIS2 względem pierwszej wersji?

• Uprawnienia organów nadzorczych

• Kary za nieprzestrzeganie Dyrektywy NIS2

W erze cyfryzacji, kiedy technologie informacyjne odgrywają kluczową rolę w funkcjonowaniu gospodarki i społeczeństwa, bezpieczeństwo cybernetyczne stało się jednym z priorytetowych wyzwań współczesnego świata. Rosnąca liczba ataków cybernetycznych, ich złożoność oraz potencjalne konsekwencje dla infrastruktury krytycznej, wymagają skoordynowanych działań. W odpowiedzi na te wyzwania, Unia Europejska wprowadziła Dyrektywę NIS2 (Dyrektywa 2022/2555oD) mającą na celu podniesienie poziomu bezpieczeństwa na obszarze wspólnoty. Artykuł prezentuje najważniejsze informacje o dyrektywie NIS2, jej znaczeniu, zakresie stosowania oraz konsekwencjach dla przedsiębiorstw i instytucji w Unii Europejskiej.) mającą na celu podniesienie poziomu bezpieczeństwa na obszarze wspólnoty. Niniejszy e-book prezentuje najważniejsze informacje o dyrektywie NIS2, jej znaczeniu, zakresie stosowania oraz konsekwencjach dla przedsiębiorstw i instytucji w Unii Europejskiej.

Dyrektywa NIS2 (Network and Information Security Directive 2) jest zaktualizowaną wersją Dyrektywy NIS z 2016 roku, której celem jest zwiększenie odporności na zagrożenia cybernetyczne w krajach członkowskich Unii Europejskiej. Dyrektywa ma na celu zapewnienie wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej, obejmując zarówno sektor publiczny, jak i prywatny. Wprowadza bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem cybernetycznym i współpracy między państwami członkowskimi w przypadku incydentów cybernetycznych. Dyrektywa koncentruje się na ochronie kluczowej infrastruktury i usług, które są niezbędne do funkcjonowania gospodarki oraz zapewnienia bezpieczeństwa publicznego. Poprzez zwiększenie poziomu ochrony, NIS2 dąży do zminimalizowania ryzyka przerw w dostarczaniu kluczowych usług i dóbr oraz ochrony przed rosnącą liczbą zagrożeń cybernetycznych.

Choć dyrektywa NIS2 swoim zakresem dotyka i jest kojarzona głównie z bezpieczeństwem cybernetycznym, obejmuje ona znacznie szerszy obszar – zarządzanie ryzykiem, podniesienie bezpieczeństwa łańcuchów dostaw, odpowiedzialność kierownictwa i instytucji, współpracę wewnątrz wspólnoty UE. Szeroka perspektywa może pozytywne wpłynąć na ogólne zwiększenie bezpieczeństwa działania operacyjnego.

Państwa członkowskie UE są zobowiązane do wdrożenia postanowień dyrektywy NIS2 do 17 października 2024 roku. W tym czasie wszystkie kraje członkowskie zobligowane były przyjąć i opublikować przepisy krajowe, które zapewnią zgodność z NIS2. Do 17 kwietnia 2025 roku każde państwo członkowskie powinno opracować listę kluczowych i ważnych podmiotów, które będą objęte wymogami dyrektywy.

W Polsce Dyrektywa NIS2 nie została wdrożona w tym terminie, a praca nad projektem ustawy w dalszym ciągu trwają. Implementacja krajowa może mieć znaczący wpływ na wymagania, a także sposób ich spełniania.

Podmioty zobowiązane do wdrożenia dyrektywy NIS2 muszą spełniać określone kryteria (niektóre z poniższych obszarów będą zależały od wdrożenia w poszczególnych krajach członkowskich):

• Zakres sektorów objętych dyrektywą: NIS2 dotyczy przedsiębiorstw i instytucji, które działają w sektorach uznanych za „kluczowe” lub „ważne” dla funkcjonowania gospodarki
  i bezpieczeństwa publicznego. Sektory te obejmują m.in. energetykę, transport, bankowość, opiekę zdrowotną, dostarczanie wody pitnej i oczyszczanie ścieków. Podmioty te muszą spełniać szereg wymagań dotyczących bezpieczeństwa, w tym wdrożyć odpowiednie środki zarządzania ryzykiem i raportowania incydentów,

• Wielkość organizacji: Dyrektywa wprowadza rozróżnienie między dużymi, średnimi i małymi organizacjami. Nowe przepisy dotyczą zarówno przedsiębiorstw średnich (zatrudniających min. 50 osób i osiągających obroty roczne lub roczną sumę bilansową w wysokości min. 10 mln euro), jak i dużych (zatrudniających co najmniej 250 pracowników, o rocznych obrotach powyżej 50 mln euro lub rocznej sumie bilansowej przekraczającej 43 mln euro).
  W szczególności dotyczy to dużych i średnich przedsiębiorstw działających w wymienionych sektorach, natomiast małe organizacje są objęte regulacjami tylko w wyjątkowych przypadkach, jeśli świadczą usługi o szczególnym znaczeniu dla funkcjonowania rynku wewnętrznego UE,

• Znaczenie dla rynku wewnętrznego UE: podmioty muszą wykazać, że są istotne dla funkcjonowania rynku wewnętrznego Unii Europejskiej, co może obejmować dostarczanie kluczowych usług, posiadanie infrastruktury krytycznej lub znaczenie dla bezpieczeństwa publicznego,

• Zdolność do zarządzania ryzykiem: organizacje muszą być zdolne do wprowadzenia odpowiednich środków zarządzania ryzykiem, takich jak regularne oceny ryzyka, wdrożenie strategii zarządzania ryzykiem, a także stosowanie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa swoich systemów i danych.

Dyrektywa NIS2 wprowadza szereg istotnych zmian w stosunku do Dyrektywy NIS z 2016 roku:

• Poszerzenie zakresu regulacji: w NIS2 zwiększono liczbę sektorów uznawanych za kluczowe i ważne dla bezpieczeństwa wewnętrznego Unii Europejskiej.

• Surowsze wymagania dotyczące bezpieczeństwa: Dyrektywa wymaga od podmiotów objętych regulacją wprowadzenia bardziej rygorystycznych środków technicznych i organizacyjnych.

• Wzmocnienie nadzoru i egzekwowania przepisów: Dyrektywa rozszerza kompetencje organów nadzorczych, w tym uprawnienia do nakładania kar finansowych i innych sankcji za brak zgodności z wymaganiami Dyrektywy (nawet do 10 mln euro). Organy nadzorcze mogą także wymagać szczegółowego raportowania incydentów oraz przeprowadzać kontrole na miejscu.

• Zwiększona współpraca międzynarodowa: Dyrektywa NIS2 ma na celu wzmocnienie współpracy i wymiany informacji pomiędzy państwami członkowskimi w celu skuteczniejszego zarządzania zagrożeniami cybernetycznymi. Nowe przepisy wspierają także koordynację działań w ramach unijnego systemu reagowania na incydenty cybernetyczne. Zatem należy ją traktować jako zharmonizowaną normę obsługi bezpieczeństwa,
  w szczególności tego cybernetycznego.

W ramach NIS2 organy nadzorcze mają rozszerzone uprawnienia, które obejmują:

1. Wymóg dostarczania przez podmioty objęte regulacją informacji na temat stanu zabezpieczeń i podejmowanych działań zapobiegawczych.
2. Możliwość prowadzenia audytów i kontroli, zarówno na miejscu, jak i zdalnie, w celu weryfikacji zgodności z przepisami.
3. Nakładanie sankcji, w tym kar finansowych, za brak zgodności, niezgłaszanie incydentów lub nieprzestrzeganie określonych procedur.
4. Prowadzenie ścisłej współpracy z innymi organami na poziomie krajowym i unijnym w celu koordynacji działań zapobiegawczych i reagowania na incydenty.

Za nieprzestrzeganie przepisów dyrektywy NIS2 przewidziane są wysokie kary, które mogą wynosić do 10 milionów euro lub 2% całkowitego rocznego obrotu firmy, w zależności od tego, która kwota jest wyższa. Kary mogą również obejmować nakaz zaprzestania działalności na określonym rynku lub wdrożenie dodatkowych środków zabezpieczających.

Dzięki wprowadzeniu nowych, zaawansowanych środków bezpieczeństwa, NIS2 zapewnia solidną podstawę do budowy odporności na zagrożenia cybernetyczne w skali całej Unii Europejskiej. Implementacja tych przepisów jest kluczowa dla ochrony infrastruktury krytycznej i zapewnienia ciągłości usług, które mają kluczowe znaczenie dla gospodarki i bezpieczeństwa publicznego.

Wyłączanie technologii 2G i 3G!
Poznaj 5 podpowiedzi, jak bezpiecznie wdrożyć
LTE/5G do systemów telemetrycznych bez
przestojów w procesach.

CODESYS® – nowoczesne środowisko programowania PLC
Poznaj nowoczesne środowisko do programowania
sterowników PLC i paneli HMI