NIS 2 i obowiązki firm w sprawie cyberbezpieczeństwa – jak się przygotować?

Dyrektywa NIS 2 od początku nazywana była rewolucją w zakresie cyberbezpieczeństwa, ponieważ od lat głośno mówiło się o konieczności aktualizacji przepisów ze względu na rosnące zagrożenia cybernetyczne. Dyrektywa weszła w 2023 roku i nie tylko zaostrza obowiązki firm, a też daje możliwość nałożenia wysokich kar, kiedy te nie będą stosować się do zaleceń. Czym jest dyrektywa NIS 2, kogo dotyczy i jakie nakłada obowiązki?

O tym, że działania na rzecz cyberbezpieczeństwa są konieczne, nie trzeba przekonywać. Jednym z argumentów są rozmaite badania, w tym to przeprowadzone przez Vmware. Zgodnie z nim w 2022 roku działanie co trzeciej polskiej firmy zostało zakłócone w wyniku cyberataku. Jednocześnie autorzy badania zwracają uwagę, że wielu przedsiębiorców bagatelizuje problem i uważa, że im atak nie grozi – zaledwie 39% uważa cyberbezpieczeństwo za priorytetową kategorię w swojej działalności. Mało tego, odnotowano wzrost aż o 20,1% skutecznych naruszeń bezpieczeństwa w latach 2020-22. Dodajmy, że w samym tylko 2022 roku na całym świecie liczba cyberataków wzrosła o 38% w porównaniu do 2021 roku.

Ochrona przed cyberatakami ma szczególne znaczenie w kontekście podmiotów kluczowych, tj. z sektorów energetyki, infrastruktury cyfrowej, bankowości, zaopatrzenia w wodę pitną, ochrony zdrowia i transportu. Tutaj każde przerwanie ciągłości działania ma znaczenie nie tylko dla pojedynczej organizacji, co dla całej gospodarki i społeczeństwa. To dlatego głośno wraz z rozwojem cyfryzacji wzrosła konieczność ustandaryzowania procesów i większej ochrony kluczowych dostawców. Wynikiem tego była unijna dyrektywa NIS z 2016 roku (ang. Network and Information Systems Directive), która była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa.

Dyrektywa NIS nałożyła obowiązki na firmy z kluczowych sektorów gospodarki oraz dostawców usług cyfrowych. Doczekaliśmy się jej nowelizacji pod postacią NIS 2, która jeszcze bardziej poszerzyła zakres obowiązków i listę podmiotów krytycznych. Tym samym operatorzy, który dotąd zwlekali z modernizacją swoich systemów teleinformatycznych, muszą ostrzej wziąć się do pracy.

Czym jest Dyrektywa NIS 2?

W 2016 roku Unia Europejska uchwaliła dyrektywę NIS, która była odpowiedzią na silny rozwój cyfryzacji, a co za tym idzie – zwiększonymi zagrożeniami na tym polu. Odnotowywano między innymi zwiększoną działalność grup przestępczych, specjalizujących się w uzyskiwaniu danych osobowych i poufnych informacji, a także w blokowaniu usług kluczowych. W Polsce założenia dyrektywy NIS realizowała ustawa o krajowym systemie cyberbezpieczeństwa (KSC) z 28 sierpnia 2018 roku.

Temat konieczności zaostrzenia dyrektywy NIS był często poruszany przez Parlament Europejski i Radę Unii Europejskiej. Zwracano uwagę na dość dużą swobodę w realizacji jej przepisów, na przykład w określaniu, które usługi są uważane za kluczowe. Ponadto wskazywano na konieczność dołączenia do listy przedsiębiorstw tzw. podmiotów istotnych, np. dostawców chmury obliczeniowej i centrów danych, dostawców publicznych sieci łączności elektronicznej oraz usług łączności elektronicznej, firm świadczących usługi pocztowe i kurierskie, a także podmiotów zajmujących się gospodarką ściekami i odpadami.

Wreszcie, po szumie w mediach i licznych zapowiedziach, w 2020 roku ogłoszono propozycję aktualizacji dyrektywy. Następnie została ona opublikowana w Dzienniku Urzędowym Unii Europejskiej i tym samym weszła w życie. Konkretnie jest to: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, która zmieniła rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchyliła dyrektywę (UE) 2016/1148. W skrócie określa się ją jako dyrektywę NIS 2.

Skrót najważniejszych założeń oraz treść dyrektywy NIS 2 znajdziesz tutaj: Dyrektywa NIS 2 – jakie zmiany wprowadzi dla cyberbezpieczeństwa?

Dyrektywa NIS 2 weszła w życie 16 stycznia 2022 roku. Polska (oraz każdy inny kraj członkowski UE) ma niecałe dwa lata na wdrożenie NIS 2 w polskim ustawodawstwie od daty przyjęcia, konkretnie to do 17 października 2024 roku. Celem dyrektywy jest zagwarantowanie minimalnego poziomu krajowych zdolności w zakresie bezpieczeństwa teleinformatycznego przez wszystkie kraje członkowskie.

Wysokie kary dla przedsiębiorców, czyli największe zmiany w NIS

Dyrektywa NIS 2 wprowadza dwie zmiany o zasadniczym znaczeniu dla przedsiębiorstw. Są to:

  • obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie przez nowe podmioty, w tym m.in. na dostawców usług chmurowych,
  • możliwość nakładania kar na podmioty, które nie wywiązują się z nałożonych obowiązków.

Tym samym firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane. Wysokość kar będzie zależeć od rodzaju podmiotu. W przypadku podmiotów kluczowych będą to kary w wysokości do 10 mln EUR lub 2% łącznego światowego obrotu w poprzednim roku. Podmioty istotne (ważne) mogą liczyć się z karą do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku. W obu przypadkach zastosowanie ma kwota wyższa.

Na jakiej zasadzie będzie odbywać się to karanie? Tutaj można jedynie domniemywać, ponieważ dyrektywa NIS 2 nie zawiera minimalnego zestawu wymagań dotyczących technologii ochrony ani też listy kontrolnej. Mowa jest o „odpowiedniej ochronie”, którą można rozumieć dość szeroko. Jednocześnie dyrektywa wprowadza nowe obowiązki i wymagania, w tym obligatoryjne stosowanie konkretnych rozwiązań z zakresu zarządzania ryzykiem jak polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, polityki zarządzania incydentami czy planów ciągłości działania.

Jak ustrzec się przed wysokimi karami? W praktyce duża odpowiedzialność spoczywa na kierownictwie, które może zostać pociągnięte do odpowiedzialności w przypadku odstępstw od norm. Firma lub organizacja musi też spełnić wymogi bezpieczeństwa cybernetycznego, w tym wdrażać środki bezpieczeństwa i międzynarodowe standardy, takie jak ISO 27001 lub ramy NIST cybersecurity. Najlepszym więc sposobem upewnienia się, czy spełnia się wszystkie zalecenia z dyrektywy, jest skorzystanie z usług specjalistów z obszaru cyberbezpieczeństwa i zarządzania ryzykiem jak PBSG.

Sprawdź ofertę: Doradztwo w zakresie cyberbezpieczeństwa

Kogo dotyczy dyrektywa NIS 2?

Żeby zrozumieć, jak duże zmiany wprowadza dyrektywa NIS 2, wystarczy przywołać to, kogo ona dotyczy w porównaniu do poprzedniej wersji.

Dyrektywa NIS, która w Polsce była realizowana ustawą KSC, klasyfikowała operatorów usług kluczowych (OUK) i to oni zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Warto jednak odnotować, że Unia dała członkom stosunkowo dość dużą swobodę co do organizacji bezpieczeństwa, dlatego też nie dotyczyło to bezpośrednio usług administracji publicznej (o ile nie były to usługi kluczowe wymienione w dyrektywie). W Polsce na liście znalazło się kilkaset podmiotów, w tym firmy z następujących sektorów:

  • energia (energia elektryczna, ciepło, ropa i gaz itp.),
  • transport (wodny, lądowy i powietrzny),
  • bankowość i infrastruktura rynków finansowych,
  • uzdatnianie wody i odprowadzanie ścieków,
  • ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny),
  • infrastruktura cyfrowa (DNS, IXP i TLD).

Dyrektywa NIS 2 rozszerza definicje sektorów i podmiotów krytycznych objętych regulacjami cyberbezpieczeństwa. Obejmuje 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. Co więcej, dokłada do tej listy podmioty istotne.

Dyrektywa NIS 2 dzieli przedsiębiorców na 2 kategorie:

  • podmioty kluczowe, np. przedsiębiorstwa użyteczności publicznej, banki, firmy komunikacyjne,
  • podmioty istotne, np. firmy przewozowe, platformy mediów społecznościowych, dostawcy centrów danych.

Ważne: firmy, które zatrudniają mniej niż 250 pracowników lub ich roczne obroty nie przekraczają 50 mln EUR są zwolnione z wdrożenia zmian.

Największe wyzwania przy wdrażaniu dyrektywy NIS 2

Wiele przedsiębiorstw już wdrożyło środki bezpieczeństwa, aby spełnić wymagania stawiane np. przez RODO. Pamiętajmy jednak, że RODO ma za zadanie chronić dane osobowe, a NIS 2 chroni dane gospodarcze, w tym te o znaczeniu europejskim. Zatem nawet jeśli firma wdrożyła już pewne zabezpieczenia w zakresie bezpieczeństwa sieci i informacji, to musi je dostosować do nowej rzeczywistości. W obliczu poszerzonego zakresu obowiązków i listy podmiotów zadanie może się wydawać przytłaczające, ale z odpowiednim doradcą wypracowanie optymalnego poziomu cyberbezpieczeństwa jest do osiągnięcia.

Jednym z większych wyzwań jest to, że opracowanie i wdrożenie środków ochrony, a także wybór technologii, spoczywa na firmie. W obliczu mnogości rozwiązań dostępnych na rynku firmy mogą czuć się zagubione. W pierwszej kolejności należy znaleźć profesjonalnego doradcę, który nie tyle pomoże opracować koncepcję systemu bezpieczeństwa, ile pomoże upewnić się, że wszystko założenia wynikające z dyrektywy NIS 2 zostały uwzględnione. Tym właśnie zajmujemy się w PBSG. Poniżej prezentujemy obszary, w których pomagamy polskim firmom w dostosowaniu systemów do przepisów prawa.

Jak przygotować się na NIS 2?

Wprawdzie państwa członkowskie mają czas do października 2024 roku na transpozycję dyrektywy do prawa krajowego, ale nie oznacza to, że polskie firmy i organizacje mają czekać, wręcz przeciwnie. Warto już wcześniej rozpocząć prace przygotowawcze, ponieważ przedsiębiorstwa wcześniej muszą wykazać, że są w stanie dostosować się do dyrektywy. Najlepiej zrobić tu przy wsparciu profesjonalistów takich jak PBSG.

Jako specjaliści do zarządzania ryzykiem do kwestii cyberbezpieczeństwa podchodzimy kompleksowo. To oznacza, że nie tylko wskażemy najlepsze technologie i usprawnienia dla systemu teleinformatycznego, ale też udoskonalimy procesy, w tym reakcje na incydenty. Wskażemy najlepsze technologie oraz procesy.

Przykładowy zakres prac przygotowania do dyrektywy NIS 2 obejmuje:

  • Analiza potrzeb wraz z oceną stanu bezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej i istotnej. Korzystamy tu z różnych narzędzi, w tym analiza dokumentacji i wywiady z pracownikami.
  • Stworzenie koncepcji systemu, który wesprze w zakresie cyberbezpieczeństwa pod kątem zarządzania ryzykiem, włącznie z identyfikacją i priorytetyzacją zasobów. Tutaj bazujemy na rozmaitych normach i dobrych praktykach, w tym ISO 27001, ustawa KSC i dyrektywa NIS. Do zagadnienia podchodzimy wielokierunkowo i kompleksowo, by zapewnić system, który będzie spełniać wszelkie możliwe polskie i międzynarodowe kryteria,
  • Przeszkolenie pracowników i kierownictwa. To ważny punkt, ponieważ w procesie zarządzania bezpieczeństwem niezwykle ważny jest człowiek, a konkretnie jego świadomość co do ewentualnych ryzyk i procedur postępowania. Kierownictwo powinno mieć świadomość, jaka spoczywa tutaj odpowiedzialność, zwłaszcza w kontekście wysokich kar.
  • Automatyzacja procesów i procedur z wykorzystaniem nowoczesnego oprogramowania. Firmom, z którymi współpracujemy, proponujemy narzędzie erisk do kompleksowego zarządzania ryzykiem. Dzięki niemu zyskuje się stałą kontrolę nad ryzykiem, ponadto usprawnione zostaną procesy, raportowanie i komunikacja.

Ważnym aspektem w kontekście dyrektywy NIS 2 jest raportowanie. Otóż nowa dyrektywa wprowadza obowiązek raportowania incydentów, co więcej – powinno odbywać się to zgodnie z jej wymaganiami. Dlatego też warto tutaj postawić na informatyzację, która pomoże ten proces ułatwić i zmniejszy ryzyko ewentualnych błędów. Jest to istotne nie tylko z punktu widzenia samej dyrektywy, co bezpieczeństwa ogółem. Dzięki sprawnemu procesowi raportowania szybciej można zidentyfikować ryzyko lub aktywnie go wykorzystać do łagodzenia ataków i zagrożeń.

Masz więcej pytań? Zachęcamy do kontaktu z PBSG.

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
CZYTAJ, OGLĄDAJ, SUBSKRYBUJ
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.