Dyrektywa NIS 2 to odpowied? Unii Europejskiej na stale rosn?ce cyberzagro?enia, które dotycz? wielu podmiotów prywatnych, publicznych i organów pa?stwa. Aktualizuje i porz?dkuje ona przepisy unijne NIS z 2016 r. Najwa?niejsze zmiany, które wprowadza NIS 2 to wzmocnienie wymogów zwi?zanych z zarz?dzeniem ryzykiem przez przedsi?biorstwa. Przepisy maj? na celu usprawnienie reagowania i zarz?dzania oraz wprowadzaj? obowi?zek raportowania incydentów bezpiecze?stwa. NIS 2 wesz?a w ?ycie 16 stycznia 2023 roku, a na implementacj? dyrektywy do przepisów krajowych, pa?stwa cz?onkowskie UE maj? czas do 17 pa?dziernika 2024 roku. Dla organizacji oznacza to szereg nowych zobowi?za?, do których trzeba b?dzie si? dostosowa?. Jakie to wymagania?
“Przede wszystkim trzeba pami?ta?, ?e implikacja NIS 2 do przepisów krajowych to proces, wi?c wszystkie podmioty, których to dotyczy, maj? czas na dostosowanie si? do spe?niania nowych wymaga?. Jednak ju? teraz warto wiedzie?, czy dyrektywa NIS 2 b?dzie dotyczy? naszej firmy lub instytucji, bo wprowadzenie tych zmian obejmuje wiele obszarów bezpiecze?stwa sieci IT, czyli wdro?enia innych, cz?sto nowych i bardziej skomplikowanych rozwi?za?. Podmioty, których dotycz? te regulacje podzielono wed?ug dwóch kategorii i zanim podejmiemy odpowiednie kroki, w pierwszej kolejno?ci nale?y ustali?, czy nasza organizacja zalicza si? do której? z nich. A nast?pnie warto skorzysta? z wiedzy i wsparcia specjalistów.”
Patrycja Tatara, ekspertka ds. cyberbezpiecze?stwa w Sprint S.A.
Kogo dotyczy NIS 2?
Podmioty podlegaj?ce NIS 2 podzielono wed?ug dwóch kategorii – „kluczowe” i „wa?ne”. Jednak obowi?zki zwi?zane z osi?gni?ciem w?a?ciwego poziomu cyberbezpiecze?stwa s? takie same dla obu grup. Zostan? one sprecyzowane dopiero po przygotowaniu implementacji do NIS 2 na szczeblu krajowym – pa?stwo ma wi?c na to czas do pa?dziernika 2024 roku. Kogo wi?c obejmie dyrektywa?
B?d? to podmioty spe?niaj?ce wymogi ?redniego przedsi?biorstwa w my?l prawa UE oraz wi?ksze organizacje. Ka?de pa?stwo cz?onkowskie przygotuje w?asny wykaz podmiotów kluczowych i wa?nych, do 27 miesi?cy po wej?ciu w ?ycie NIS 2. Szacuje si?, ?e w Polsce b?dzie to kilka tysi?cy firm. O w??czeniu organizacji do danej kategorii b?dzie decydowa? rozmiar przedsi?biorstwa, z nielicznymi wy??czeniami. A wi?c do podmiotów kluczowych zaliczane b?d? przedsi?biorstwa zatrudniaj?ce nie mniej ni? 250 osób lub takie, których obroty roczne lub roczna suma bilansowa wynosz? poni?ej 50 mln euro. Poza tym ka?da firma, która zostanie przez pa?stwo uznana za organizacj? o znaczeniu strategicznym i wpisana na tak? list?, mo?e zosta? podmiotem kluczowym.
Pro?ciej rysuje si? z kolei sytuacja dotycz?ca podmiotów wa?nych – tutaj b?d? to albo organizacje z sektorów okre?lonych dla podmiotów kluczowych, które podlega?y wy??czeniu z tej listy, albo organizacje z jednego z sektorów okre?lonych dla podmiotów wa?nych.
Jakie warunki trzeba b?dzie spe?nia??
Cho? precyzowanie warunków na szczeblu krajowym jeszcze trwa, to ju? na tym etapie wprowadzania NIS 2 w ?ycie wiadomo, jakie s? ogólne wymagania wobec organizacji, których dotycz? nowe przepisy. W?ród nich znalaz?y si? m.in.:
- dynamiczna analiza ryzyka i ?rodki zarz?dzania ryzykiem, polityki bezpiecze?stwa systemów teleinformatycznych (spe?nieniem tego wymogu jest zbudowanie i wdro?enie w organizacji Systemu Zarz?dzania Bezpiecze?stwem Informacji (SZBI) zgodnego z ISO 27001),
- zarz?dzanie incydentami (równie? zgodnie z ISO 27001),
- raportowanie incydentów do CSIRT na szczeblu krajowym lub podobnej organizacji,
- bezpiecze?stwo ?a?cucha dostaw,
- plan ci?g?o?ci dzia?ania i zarz?dzania kryzysowego,
- polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
- polityki testowania i audytu zabezpiecze?,
- kryptografia i szyfrowanie
- szkolenia z cyberbezpiecze?stwa.
Warto jeszcze podkre?li?, ?e aby NIS 2 rzeczywi?cie spe?nia?a swoj? rol?, przygotowane zosta?y nowe narz?dzia kontrolne i nadzorcze. Obejmuj? one: stosowanie kontroli dora?nych wobec podmiotów kluczowych, nak?adanie administracyjnych kar pieni??nych oraz odpowiedzialno?? indywidualn?.
“W przypadku listy warunków do spe?nienia, warto zwróci? szczególn? uwag? na szkolenia w zakresie cyberzbezpiecze?stwa. Z naszego do?wiadczenia wynika, ?e do incydentów do?? cz?sto dochodzi z udzia?em szeregowych pracowników instytucji. Wiedza na temat cyberzagro?e? w?ród nich cz?sto bywa mniejsza ni? w przypadku osób zatrudnionych w dzia?ach IT, dlatego cz??ciej mog? oni ulega? manipulacjom hakerów. Wa?ne jest te? nabywanie dobrych nawyków, jak cho?by regularna zmiana hase? dost?powych. Tego typu praktyki s? omawiane na szkoleniach, które powinny odbywa? si? cyklicznie, aby stale aktualizowa? wiedz? w zespole. Warto podkre?li?, ?e wa?nym elementem szkole? jest cz??? praktyczna, gdzie przeprowadzane s? symulacje incydentów i omawia si? reakcje na te zdarzenia. Zdobywanie wiedzy przez praktyk? zawsze przynosi pozytywne rezultaty.”
Patrycja Tatara ze Sprint S.A.
