Filtry
ustawioneclose
Szukaj:
Pokaż wyniki dla:
Sortuj:
Wyszukaj po identyfikatorze keyboard_arrow_down
Wyszukiwanie po identyfikatorze Zamknij close
account_circle
Zaloguj się
ZAMKNIJ close
account_circle Jesteś zalogowany jako:
ZAMKNIJ close
Powiadomienia
closeZamknij menu menuPokaż menu
keyboard_backspaceWróć
keyboard_arrow_up keyboard_arrow_down znajdź
removeA addA insert_drive_fileWEksportuj printDrukuj assignment add Do schowka
today

Aktualność

Data publikacji: 2024-03-19
Data publikacji: 2024-03-19

Nowe obowiązki dla firm w zakresie cyberbezpieczeństwa - dyrektywa NIS2

Dyrektywa w sprawie środków  na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej (NIS2) to regulacja, która ma wzmocnić poziom cyberbezpieczeństwa w państwach UE, a także zapewnić ochronę sieci i systemów informacyjnych. Państwa członkowskie UE są zobowiązane do implementacji jej przepisów do 17 października 2024 roku. Nowe regulacje to szereg obowiązków w zakresie cyberbezpieczeństwa i raportowania incydentów dla organizacji i firm z sektorów objętych dyrektywą, uznanych za kluczowe lub ważne. 

Cyberbezpieczeństwo w małej i średniej firmie - sprawdź, jak unikać cyberzagrożeń >>>

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej weszła w życie 16 stycznia 2023 roku. Państwa członkowskie UE, w tym Polska, są zobowiązane do implementacji przepisów do 17 października 2024 roku.

Dyrektywa NIS 2 (Network and Information System Directive) to regulacja, która ma wzmocnić poziom cyberbezpieczeństwa w państwach UE, a także zapewnić ochronę sieci i systemów informacyjnych. 

Dyrektywa NIS2 to szereg obowiązków w zakresie cyberbezpieczeństwa i raportowania incydentów dla organizacji i firm sklasyfikowanych jako podmioty kluczowe i ważne.

Kogo dotyczy NIS 2 - "podmioty kluczowe i ważne"

Dyrektywa NIS 2 dotyczy zarówno podmiotów publicznych, jak i prywatnych, które prowadzą działalność lub świadczą usługi na terenie UE i spełniają warunki do uznania za „średnie przedsiębiorstwa”.

„Średnie przedsiębiorstwa” (na podstawie art. 2 załącznika do zalecenia 2003/361/WE) to przedsiębiorstwa:

  • zatrudniające co najmniej 50 i nie więcej niż 250 osób oraz

  • których obroty roczne lub roczna suma bilansowa wynoszą od 10 mln EURO do 50 mln euro.

Dyrektywa NIS 2 rozróżnia dwie kategorie podmiotów - podmiotów kluczowych i ważnych z sektorów wymienionych w załącznikach, które są co najmniej średnimi przedsiębiorstwami (dyrektywa przewiduje w tym zakresie kilka wyjątków).

Jeżeli firma działa w jednym z sektorów, prawdopodobnie obejmą ją regulacje NIS2:

  • energetyka
  • transport
  • bankowość i infrastruktury rynków finansowych
  • ochrona zdrowia
  • woda pitna
  • ścieki
  • Infrastruktura cyfrowa
  • zarządzanie usługami ICT
  • administracja publiczna
  • przestrzeń kosmiczna
Ważne

Za podmiot kluczowy i ważny co do zasady mogą być uznane podmioty będące co najmniej średnim przedsiębiorstwem, dyrektywa zawiera jednak szereg wyjątków w tym zakresie.

Niezależnie od kryterium wielkości firma/organizacja może zostać uznana za podmiot kluczowy i ważny jeżeli odgrywa istotną rolę w jednym ze wskazanych sektorów. Przykładowo, może się tak zdarzyć gdy:

  • podmiot jest jedynym dostawcą usługi usługi w kraju,

  • zakłócenie usługi świadczonej przez podmiot mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo lub zdrowie publiczne,

  • podmiot jest jednostką administracji publicznej.

  • usługi świadczone są przez dostawców usług zaufania

Poszczególne państwa członkowskie ustanowią wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen.

Liczba podmiotów kluczowych i ważnych w każdym sektorze i podsektorze będzie sprawozdawana Komisji i Grupie Współpracy, razem z istotnymi informacjami na temat tych podmiotów (sektor/podsektor, rodzaj świadczonej usługi, podstawa prawna wskazania za dany podmiot).

Obowiązki dla firm – środki zarządzania ryzykiem

Jednym z podstawowych obowiązków zarówno podmiotów kluczowych, jak i ważnych, jest wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w dwóch celach. Po pierwsze, aby zarządzać ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług. Po drugie, w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami.

Wprowadzone w danej organizacji środki zarządzania ryzykiem w cyberbezpieczeństwie mają być:

  • proporcjonalne,
  • uwzględniające stopień narażenia podmiotu na ryzyko,
  • uwzględniające wielkość podmiotu,
  • uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.

W ramach obowiązku wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, dyrektywa NIS2 zobowiązuje firmy do zapewnienia co najmniej:

Środki zarządzania ryzykiem_NIS2

 

Powyższe środki mają być zatwierdzane przez organy zarządzające firmy. Żeby prawidłowo realizować te obowiązki, organy te zobligowane zostały do regularnych szkoleń.

Obowiązek zgłoszenia incydentów

Jednym z obowiązków podmiotów kluczowych i ważnych oprócz wdrożenia środków zarządzania ryzykiem jest obowiązek zgłaszania incydentów poważnych.

Ważne

Zgodnie z przepisami dyrektywy NIS2 incydentem jest zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci lub systemy informatyczne lub dostępnych za ich pośrednictwem.

O incydencie poważnym mówimy wówczas gdy incydent ma istotny wpływ na świadczenie usług przez podmiot kluczowy i ważny, jeżeli:

  • spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu,

  • wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe.

Podczas zgłaszania incydentów należy pamiętać o następujących obowiązkach:

  • zgłoszenie incydentu poważnego bez zbędnej zwłoki,

  • powiadomienie w stosownych wypadkach odbiorców usług o takich poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają,

  • zgłoszenie m.in. informacji umożliwiających ustalenie transgranicznego wpływu incydentu,

  • poinformowanie odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które odbiorcy mogą zastosować w reakcji na to zagrożenie.

Do celów zgłoszenia liczy się czas podany od momentu powzięcia wiedzy o poważnym incydencie:

  • bezzwłocznie (max. 24 h) – wczesne ostrzeżenie ze wskazaniem, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny,
  • bezzwłocznie (max. 72 h)zgłoszenie incydentu z ewentualną aktualizacją powyższych informacji, i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu; dostawca usług zaufania dokonuje zgłoszenia w ciągu 24 godzin.

Z obowiązkiem zgłaszania incydentów wiąże się również złożenie sprawozdania - na wniosek CSIRT - zawierającego szczegółowy opis incydentu, rodzaj zagrożenia, skutki oraz zastosowane środki ograniczające ryzyko.

Niektóre kategorie podmiotów (m.in. dostawcy usług DNS, rejestrów nazw TLD, usług chmurowych) zostaną objęte aktami wykonawczymi doprecyzowującymi incydenty poważne w ich zakresie.

Źródło: NASK

Zobacz także
close POTRZEBUJESZ POMOCY?
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00