Blog summ-it

#Bez kategorii

Co to jest dyrektywa NIS 2 i czy dotyczy Twojej firmy?

24 lipca 2024

Avatar for Wiktoria Kiewro

Ten tekst przeczytasz w 6 minut

NIS

Na początku 2023 r. weszła w życie Dyrektywa unijna NIS 2, która zmieni kształt cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Mają one 21 miesięcy na wprowadzenie postanowień NIS 2 do prawa krajowego – termin ten upływa 18 października 2024r. Od tego momentu nowe przepisy mają być stosowane we wszystkich krajach UE, w związku z czym organizacje muszą spełnić rygorystyczne wymagania.

Chcesz dowiedzieć się więcej? Przeczytaj nasz artykuł i dowiedz się, co to jest dyrektywa NIS 2 oraz czy wspomniane zmiany w przepisach dotkną Twoją firmę.

Czym jest dyrektywa NIS 2?

Dyrektywa NIS 2 jest nowelizacją istniejącego już prawa Unii Europejskiej, które określa wymogi bezpieczeństwa, a także proces zgłaszania incydentów. Wynika to z faktu, że zagrożenia w cyberprzestrzeni są coraz bardziej wyrafinowane, szkodliwe oraz powszechne. Nowe rozporządzenie ma na celu zwiększenie bezpieczeństwa w sieci. Dyrektywa unijna NIS 2 nakazuje restrykcyjną ochronę danych infrastruktury cyfrowej. Przepisy zostały zaktualizowane, aby uprościć raportowanie oraz stworzyć spójne zasady i kary na terenie UE.

Kogo dotyczy dyrekwa NIS 2?

Przedsiębiorstwa powinny już teraz zacząć dostosowywać się do zmian wynikających z Dyrektywy NIS2. Nie wszystkie z nich mają natomiast świadomość, że to ich sektor jest objęty nowymi przepisami. Kogo dotyczy dyrektywa NIS 2? Nowe obowiązki będą wprowadzone w sektorach kluczowych oraz w sektorach ważnych, które zostały opisane na poniższych grafikach. 

Dyrektywa NIS 2 – kto podlega nowym przepisom? 

👉 średnie przedsiębiorstwa (powyżej 50 pracowników), o rocznych przychodach w wysokości 10 milionów euro lub rocznej sumie bilansowej do 43 milionów euro,
👉 duże przedsiębiorstwa (powyżej 250 pracowników), o rocznych przychodach w wysokości 50 milionów euro lub sumie bilansowej równej, bądź wyższej niż 43 miliony euro.

Nowe obowiązki nie będą dotyczyć mikro i małych przedsiębiorstw.

Jakie obowiązki narzuca dyrektywa NIS 2?

Dyrektywa NIS 2 – wymagania określone przez prawodawcę:
1) Ocena ryzyka i zarządzanie nim:
Organizacje muszą regularnie oceniać ryzyko związane z cyberbezpieczeństwem oraz wdrażać odpowiednie środki zarządzania nim. Zgodność z dyrektywą NIS2 zapewni wdrożenie strategii obejmującej:

  • identyfikację zagrożeń,
  • analizę podatności, 
  • ocenę potencjalnych skutków i incydentów.

👉 Przykładowe środki techniczne i operacyjne:
Organizacje mogą wprowadzić zaawansowane środki ochrony, takie jak:

  • firewall,
  • systemy wykrywania,
  • systemy zapobiegania włamaniom,
  • szyfrowanie danych,
  • zabezpieczenia endpointów,
  • regularne aktualizacje oprogramowania.

Należałoby również monitorować sieć oraz systemy w celu niezwłocznego reagowania na incydenty cyberbezpieczństwa. Warto przeprowadzać audyty bezpieczeństwa, które identyfikują ewentualne luki w zabezpieczeniach, co pozwala na uzupełnienie brakujących elementów. 
2) Zarządzanie incydentami
Organizacje powinny opracować i wdrożyć procesy zarządzania incydentami. Powinny one obejmować:

  • procedury wykrywania,
  • procedury reagowania,
  • procedury raportowania,
  • procedury usuwania skutków.

Poważne incydenty bezpieczeństwa powinno zgłaszać się do odpowiednich organów krajowych. – dowiedz się więcej.
3) Zarządzanie ciągłością działania:
Organizacja powinna opracować i wdrożyć plan ciągłości działania, aby zapewnić utrzymanie krytycznych funkcji i usług w przypadku incydentów.
4) Szkolenia i świadomość:
Kluczowe jest budowanie świadomości pracowników na temat cyberbezpieczeństwa oraz potencjalnych cyberzagrożeń poprzez regularne szkolenia.

👉 Rekomenduje się także regularne przeprowadzanie audytów w celu oceny zgodności  
z wymogami dyrektywy NIS 2 oraz raportowanie wyników do odpowiednich organów nadzoru  
i podejmowanie działań naprawczych w przypadku wykrycia zagrożeń.

Dyrektywa unijna NIS 2 – odpowiedzialność i kary

Niedostosowanie się organizacji do dyrektywy NIS 2, wiązać się będzie z wysokimi karami.

Jakie działania należy podjąć w związku z dyrektywą NIS 2?

W pierwszej kolejności warto sprawdzić, czy nowe przepisy mają zastosowanie w Twojej firmie. W tym celu warto także wyznaczyć odpowiednie punkty kontaktowe w organizacji – osoby, które będą odpowiadały za sprawy związane z cyberbezpieczeństwem i dyrektywą NIS 2.

Organizacje jak najszybciej powinny oszacować skalę zmian, z jakimi będą musiały się zmierzyć m.in. ocenić ryzyko/potencjalne zagrożenia dla systemów i danych, wdrożyć właściwe środki techniczne i organizacyjne, by zarówno zapobiegać incydentom cybernetycznym, a gdy się one zdarzą, to mieć opracowane działania łagodzące ich skutki, a także zastanowić się nad organizacją szkoleń dla pracowników w tym zakresie.

Ponadto warto na bieżąco sprawdzać zmiany wprowadzane w ustawie o krajowym systemie cyberbezpieczeństwa.

Prawdopodobnie Twoja firma spełnia już część wymagań związanych z dyrektywą NIS 2, więc skup się na tym, czego brakuje – przede wszystkim należy przeanalizować już istniejącą w firmie architekturę bezpieczeństwa oraz narzędzia, jakie posiadamy. Z ich wykorzystaniem można opracować nowe procesy, które spełnią wymagania, jakie stawia przed nami dyrektywa NIS 2. Warto pochylić się nad procesami i wdrożeniem brakujących elementów wewnątrz organizacji, natomiast pamiętajmy o tym, że ogranicza nas czas. Jeśli dotyczy nas dyrektywa unijna NIS 2, to już teraz powinniśmy zacząć namierzać, jakiego rodzaju braki występują w naszej firmie i jak najefektywniej możemy je naprawić, żeby zdążyć przed październikiem 2024.

Jeśli nie masz pewności, w jaki sposób przeprowadzić taki audyt w swojej firmie  
i sprawdzić, czy posiadane rozwiązania spełniają wymogi, jakie stawia przed przedsiębiorcami dyrektywa NIS 2, to możesz skorzystać z profesjonalnych usług audytorskich. summ-it posiada wieloletnie doświadczenie w audytowaniu i wspieraniu baz danych – w ramach usługi audytu zapewniamy szczegółowy raport na temat bezpieczeństwa i wydajności Twoich systemów.  

W jaki sposób summ-it może pomóc Twojej firmie w dostosowaniu się do dyrektywy NIS2?

Cyberbezpieczeństwo i stała troska o nie jest bardzo ważna. Dzięki temu organizacja będzie działała płynnie – bez obawy o ataki płynące z sieci.

Mamy natomiast świadomość, że realizacja wymagań, jakie za sobą niesie dyrektywa unijna NIS 2, to złożony proces, wymagający fachowości i eksperckiej wiedzy z zakresu cyberbezpieczeństwa. Oferujemy wsparcie naszych doświadczonych specjalistów, którzy mogą udzielić pomocy w zakresie dostosowania procesów w firmie do wymagań nowych przepisów NIS2 poprzez przeprowadzenie audytu. 

Chcesz dowiedzieć się więcej na temat zmian związanych z NIS 2, a także możliwości, jakie daje audyt bezpieczeństwa i wydajności architektury informatycznej?

Skontaktuj się z nami

Autor artykułu

Avatar for Wiktoria Kiewro

Podobne artykuły

17 stycznia 2024

Przeczytaj całość

27 czerwca 2018

Przeczytaj całość

26 czerwca 2017

Przeczytaj całość

Jakub Mazerant
Head of Sales

Umów się na bezpłatną konsultację

Skonsultuj potrzeby Twojej firmy z naszymi ekspertami. Poznaj rozwiązania, które pomogą Twojej firmie usprawnić procesy biznesowe i zapewnić bezpieczeństwo danych.

Wypełnij formularz:

Twoja wiadomość została wysłana. Dziękujemy!
Save data icon Twoje dane są bezpieczne.
Więcej o ochronie danych osobowych