NIS2 – co to jest, kogo dotyczy i czemu warto przygotować się już dziś?

Dyrektywa NIS 2 ( (UE) 2022/2555) ma na celu znaczną poprawę poziomu odporności na cyberataki, wzmocnienie ochrony danych osobowych oraz zwiększenie zaufania do usług cyfrowych w Unii Europejskiej. Państwa członkowskie mają czas do 17 października 2024 roku na wdrożenie przepisów dyrektywy do swoich krajowych porządków prawnych.

Chodzi o wprowadzenie bardziej zharmonizowanego i spójnego podejścia do cyberbezpieczeństwa w całej Unii Europejskiej. Jeśli Twoja firma nie spełni nowych wymogów, grożą jej surowe kary – nawet do 10 milionów euro lub 2% rocznego obrotu! Nie czekaj na ostatnią chwilę, trudno wtedy uniknąć konsekwencji.

Kogo dotyczy NIS2?

Nowe przepisy wprowadzają rozróżnienie na sektory kluczowe i ważne, aby lepiej zdefiniować zakres obowiązków związanych z cyberbezpieczeństwem. 

Sektory kluczowe to te, które mają fundamentalne znaczenie dla funkcjonowania społeczeństwa i gospodarki. Ich zakłócenie mogłoby mieć poważne konsekwencje.

Mikro i małe przedsiębiorstwa są zobowiązane do wdrożenia wymagań NIS2 jeśli spełniają wymogi kategorii “kluczowe podmioty” (essential entities). Dyrektywa obejmuje też podmioty świadczące usługi rejestracji nazw domen, niezależnie od wielkości firmy.

Średnie i duże przedsiębiorstwa podlegają pod NIS2 jeśli ich działalność obejmuje sektory kluczowe lub ważne.

Sektory kluczowe

• Energia – Energia elektryczna, ogrzewanie i chłodzenie sieciowe, ropa naftowa, gaz, wodór
• Transport – Lotnictwo, kolej, transport wodny, transport drogowy
• Bankowość
• Infrastruktura rynków finansowych
• Zdrowie
• Woda – Woda pitna, ścieki
• Infrastruktura cyfrowa
• Zarządzanie usługami ICT (B2B)
• Administracja publiczna
• Przestrzeń kosmiczna

Sektory ważne

• Usługi pocztowe i kurierskie
• Gospodarowanie odpadami
• Wytwarzanie, produkcja i dystrybucja chemikaliów
• Produkcja, przetwarzanie i dystrybucja żywności
• Produkcja – Urządzenia medyczne, produkty komputerowe elektroniczne lub optyczne, maszyny, pojazdy
• Dostawcy usług cyfrowych
• Badania naukowe

Znaczenie dyrektywy NIS2 dla przedsiębiorców

Cyberprzestępcy zawsze szukają najsłabszych ogniw (najsłabiej chronionych firm), ponieważ są one najłatwiejsze do zaatakowania. Niewystarczające zabezpieczenia mogą prowadzić do poważnych incydentów, takich jak kradzież danych, przestoje w działalności i ogromne straty finansowe.

Gdy firma z sektora kluczowego lub ważnego zostaje zaatakowana, konsekwencje mogą być katastrofalne nie tylko dla niej samej, ale i dla całej gospodarki. Zakłócenie działalności jednego podmiotu może wywołać efekt lawiny, wpływając na inne firmy i sektory, z którymi jest powiązana. Dlatego NIS2 wprowadza środki, które mają sprawić, że firmy będą mniej wrażliwe na ataki hakerów:

• Jednolite zasady bezpieczeństwa w sieci:

Dzięki NIS2, zasady dotyczące cyberbezpieczeństwa będą podobne we wszystkich krajach UE. Oznacza to, że nie musisz już dostosowywać się do różnych przepisów w każdym kraju, w którym działasz. To upraszcza prowadzenie biznesu i zmniejsza biurokrację.

• Większą ochronę przed atakami hakerów:

Lepsza koordynacja i spójność przepisów oznaczają wyższy poziom ochrony przed cyberzagrożeniami. To pomaga chronić Twoją firmę przed atakami, które mogą spowodować utratę danych, finansowe straty, a nawet zniszczyć reputację.

• Obowiązki zgłaszania cyberataków:

Jeśli dojdzie do cyberataku, musisz szybko zgłosić incydent odpowiednim organom. Dzięki jednolitym procedurom, wiesz dokładnie, co zrobić i do kogo się zwrócić, co pozwala na szybką reakcję i minimalizację szkód.

• Lepsze zarządzanie ryzykiem np. przed atakiem hakerów:

Ujednolicenie przepisów pomaga w lepszym zarządzaniu ryzykiem. Możesz łatwiej wdrożyć skuteczne procedury zarządzania ryzykiem, które są zgodne z najlepszymi praktykami w całej UE. To zwiększa odporność Twojej firmy na cyberzagrożenia.

• Współpracę międzynarodową np. jeśli atak następuje z innego kraju:

NIS2 ułatwia współpracę między krajami UE w zakresie cyberbezpieczeństwa. Twoja firma może korzystać z lepszej wymiany informacji i wsparcia ze strony innych krajów w przypadku ataków transgranicznych. To dodatkowa warstwa ochrony, która zwiększa Twoje bezpieczeństwo.

Konsekwencje nowej dyrektywy

Jeśli działalność danego przedsiębiorstwa podlega pod NIS2, to warto być świadomym konsekwencji związanych z niespełnieniem wymogów.

Nieprzestrzeganie przepisów NIS 2 może prowadzić do wysokich kar finansowych. Mowa o milionach euro! Czy warto ryzykować? Wysokość kar wynosi co najmniej 10 000 000 EUR lub 2% łącznego rocznego obrotu przedsiębiorstwa. Stosowana jest wyższa z tych dwóch kwot.

Jeśli firma należy do “sektora ważnego”, wysokość kar wynosi co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego obrotu przedsiębiorstwa. I tak, stosowana jest wyższa kwota.

Czego dokładnie wymaga NIS2? Minimalne wymogi

Dyrektywa NIS2 (art.21) wymaga, aby przedsiębiorstwa wdrożyły kompleksowe środki zarządzania ryzykiem, które obejmują ochronę zarówno sieci, jak i systemów informatycznych, oraz ich fizycznego środowiska przed incydentami. Jakie elementy są wyróżnione? Jak je wprowadzić?

1. Polityka analizy ryzyka i bezpieczeństwa systemów informatycznych:
   Twoja firma musi mieć politykę analizy ryzyka, która identyfikuje potencjalne zagrożenia dla systemów IT. Musisz także wdrożyć polityki bezpieczeństwa, które określają, jak chronić systemy informatyczne przed tymi zagrożeniami.
2. Obsługa incydentów:
   Musisz mieć procedury reagowania na incydenty cybernetyczne, które umożliwiają szybkie i skuteczne zarządzanie sytuacjami kryzysowymi. Jeśli taki incydent będzie miał miejsce, Twoim obowiązkiem jest go zgłosić od 24 do 72 godzin od momentu wykrycia. Zgłoszenia muszą być dokonywane do odpowiednich organów krajowych odpowiedzialnych za cyberbezpieczeństwo, takich jak CERT (Computer Emergency Response Team) lub CSIRT (Computer Security Incident Response Team).
3. Ciągłość działania:
   Twoja firma powinna zarządzać kopiami zapasowymi i mieć plan przywracania normalnego działania po wystąpieniu incydentu. Należy również mieć plan zarządzania kryzysowego na wypadek sytuacji nadzwyczajnych.
4. Bezpieczeństwo łańcucha dostaw:
   Musisz ocenić i zarządzać ryzykiem związanym z dostawcami i usługodawcami, aby zapewnić, że cały łańcuch dostaw jest zabezpieczony.
5. Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania systemów:
   Wprowadź polityki bezpieczeństwa dotyczące nabywania, rozwijania i utrzymywania systemów IT.
6. Ocena skuteczności środków:
   Regularnie oceniaj skuteczność wdrożonych środków zarządzania ryzykiem. Wprowadź procedury audytu i oceny polityk bezpieczeństwa. Promuj podstawowe praktyki cyberhigieny wśród pracowników. Organizuj regularne szkolenia z zakresu cyberbezpieczeństwa.
7. Bezpieczeństwo zasobów ludzkich, polityki i procedury stosowania kryptografii:
   Wdrażaj polityki dotyczące stosowania kryptografii i szyfrowania danych, tam gdzie to jest konieczne. Zarządzaj bezpieczeństwem dostępu pracowników do systemów IT, kontroluj dostęp i zarządzaj aktywami. Wdrażaj uwierzytelnianie wieloskładnikowe. Zapewnij zabezpieczone systemy komunikacji wewnętrznej, szczególnie w sytuacjach nadzwyczajnych.

Podsumowanie

Dyrektywa NIS2 to wyzwanie, ale i szansa dla MŚP na wzmocnienie swojej pozycji na rynku poprzez poprawę bezpieczeństwa. Wiele firm już spełnia część wymagań, jednak ze względu na ich liczbę warto zacząć działać już teraz. Kluczowe będzie wykorzystanie dostępnych narzędzi, szkoleń i wsparcia, aby sprostać nowym wymaganiom. Zacznij działać już dzisiaj, aby ocenić gotowość swojej firmy i zapewnić jej zgodność z przepisami, zanim wejdą w życie krajowe regulacje. Pamiętaj, nieprzestrzeganie przepisów może kosztować Cię miliony!

Jakub Kozioł Managing Partner

jakub.koziol@theheart.legal

(+48) 600 818 015