Blog

Dyrektywa NIS2 – czym jest i kogo dotyczy? Najważniejsze informacje

OXARI TEAM

24 maj 2024

NIS 2 na IP (1)

Dyrektywa NIS2 zmieniająca rozporządzenie pierwotne dyrektywy NIS to dokument stworzony na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa NIS2 zobowiązuje państwa członkowskie do wdrożenia przepisów mających na celu ochronę krytycznej infrastruktury cyfrowej.

Dyrektywa NIS2 – co to jest?

Dyrektywa NIS2 stanowi rozwinięcie dyrektywy NIS odpowiadającej za utrzymanie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej.

Dyrektywa NIS 2 wprowadza rygorystyczne wymogi z zakresu cyberbezpieczeństwa dotyczące zarządzania ryzykiem oraz bezpieczeństwa sieci i systemów informatycznych. Rozporządzenie nakłada na operatorów usług kluczowych i dostawców usług cyfrowych konieczność prowadzenia dokładnych analiz potencjalnych zagrożeń oraz stosowania odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. Wymagania te dotyczą zarówno kwestii technicznych, jak i organizacyjnych.

Kiedy dyrektywa NIS2 wchodzi w życie?

Dyrektywa NIS2 została uchwalona 14 grudnia 2022 r., a jej wejście w życie nastąpiło z dniem 17 stycznia 2023 r. Ma na celu wzmocnienie ochrony krytycznej infrastruktury cyfrowej oraz zapewnienie wysokiego poziomu cyberbezpieczeństwa w państwach członkowskich. Głównym zadaniem jest zwiększenie zdolności reagowania na incydenty cybernetyczne przez podmioty kluczowe i ważne działające w sektorach najbardziej narażonych na ataki cybernetyczne oraz minimalizowanie potencjalnych skutków ataków, które mogłyby wpłynąć na funkcjonowanie najważniejszych sektorów gospodarki i życia publicznego.

W ramach dyrektywy NIS2 podmioty są zobowiązane do wprowadzenia środków na rzecz wysokiego poziomu cyberbezpieczeństwa obejmujących zarówno mechanizmy zarządzania ryzykiem, jak i procedury zgłaszania incydentów cyberbezpieczeństwa.

Kiedy upływa termin implementacji nowych wymagań według NIS2?

Implementacja dyrektywy NIS2 znacząco przekształca podejście do zarządzania ryzykiem. Nowe wymagania trzeba będzie spełnić do połowy października 2024 r.

Dyrektywa zobowiązuje państwa członkowskie do wdrożenia szeregu zmian w krajowym systemie cyberbezpieczeństwa oraz wyznaczenia odpowiednich organów do nadzoru nad jej wdrażaniem. Wprowadzenie przepisów dyrektywy NIS2 na poziomie krajowym stanowi wyzwanie dla państw członkowskich, które muszą dostosować swoje krajowe systemy cyberbezpieczeństwa do nowych wymagań. Może to oznaczać konieczność wprowadzenia zmian legislacyjnych oraz wzmocnienia zasobów ludzkich i technicznych w obszarze cyberbezpieczeństwa.

Kogo dotyczy dyrektywa NIS2?

Dyrektywa NIS2 ma na celu zapewnienie ochrony krytycznej infrastruktury cyfrowej. Szereg nowych regulacji obejmuje podmioty kluczowe i ważne prowadzące działalność w sektorach o szczególnym znaczeniu dla bezpieczeństwa narodowego i gospodarczego.

Podmioty kluczowe to organizacje zatrudniające co najmniej 250 osób o sumie bilansowej rocznych obrotów min. 50 mln euro, działające w następujących sektorach:

  • energetyka,
  • transport,
  • bankowość,
  • infrastruktura rynków finansowych,
  • opieka zdrowotna,
  • sektor wody pitnej,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • administracja publiczna,
  • przestrzeń kosmiczna.

Podmioty ważne to organizacje zatrudniające co najmniej 50 osób o sumie bilansowej obrotów rocznych min. 10 mln euro, działające w następujących sektorach:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, przetwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja (w szerokim znaczeniu),
  • usługi cyfrowe,
  • badania naukowe.

    Podmioty duże

    Co najmniej 250 osób

    Roczne obroty lub roczna
    suma bilansowa min. € 50mln

    Sektory:

    • Energetyczny
    • Transportowy
    • Bankowość
    • Rynki finansowe
    • Opieka zdrowotna
    • Woda pitna
    • Ścieki
    • Infrastruktura cyfrowa
    • Usługi ICT
    • Dostawcy publicznej sieci łączności elektronicznej
    • Przestrzeń kosmiczna

    Podmioty średnie

    Co najmniej 50 osób

    Roczne obroty lub roczna
    suma bilansowa min. € 10mln

    Sektory:

    • Usługi pocztowe i kurierskie
    • Gospodarowanie odpadami
    • Produkcja, wytwarzanie i dystrybucja chemikaliów
    • Produkcja, przetwarzania i dystrybucji żywności
    • Produkcja:
      • Wyrobów medycznych i wyrobów medycznych
        do diagnostyki in vitro
      • Komputerów, wyrobów elektronicznych i optycznych
      • Urządzeń elektrycznych
      • Maszyn i urządzeń
      • Pojazdów samochodowych, przyczep i naczep
      • Sprzętu transportowego
    • Dostawcy usług cyfrowych
    • Organizacje badawcze
    • Podmioty średnie z sektorów wskazanych
      dla podmiotów kluczowych

Dyrektywa NIS2 – co zmienia?

Dyrektywa NIS2  dotyczy nie tylko technicznych aspektów bezpieczeństwa, ale również wymaga od organizacji zwiększenia świadomości i szkolenia personelu w zakresie potencjalnych zagrożeń cybernetycznych.

Środki bezpieczeństwa wymagane przez NIS2:

  • Ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe.
  • Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnienie.
  • Szkolenia w zakresie cyberbezpieczeństwa.
  • Procedury stosowania kryptografii i w stosownych przypadkach szyfrowania.
  • Bezpieczeństwo zasobów ludzkich i zarządzanie aktywami.
  • Stosowanie uwierzytelnienia wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmioty w sytuacjach nadzwyczajnych.

Implementacja Dyrektywy NIS2 stawia przed podmiotami kluczowymi nowe obowiązki w zakresie zarządzania incydentami. Zarządzanie incydentami zgodne z NIS2 wymaga od organizacji gotowości na szybką identyfikację, raportowanie oraz reagowanie na incydenty cybernetyczne.

POMOŻE CI WDROŻYĆ
DYREKTYWĘ NIS 2!

  • Zarządzanie zasobami IT: Inwentaryzacja, ewidencja, protokoły przekazania.
  • Monitoring bezpieczeństwa: Wykrywania i reagowania na incydenty.
  • Service Desk: Systemowa obsługa zgłoszeń, w tym incydentów bezpieczeństwa.
  • Polityki bezpieczeństwa: Tworzenie i zarządzanie dokumentacją NIS2.
  • Szkolenia: Podnoszenie świadomości pracowników w zakresie cyberbezpieczeństwa.
NIS2

Zgłaszanie incydentów

Jednym z najważniejszych obowiązków na tle regulacji NIS2 jest obowiązek zgłaszania incydentów w zakresie cyberbezpieczeństwa bez zbędnej zwłoki do CERT.

Jakie kryteria musi spełnić incydent, aby był uznany
za poważne, a tym samym, aby powstał obowiązek jego zgłoszenia do CERT?

Spowodował lub może spowodować dotkliwe zakłócenia usług lub straty finansowe dla danego podmiotu 

Wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Proces zgłaszania incydentów:

01

Zgłosić wstępne ostrzeżenie, w którym wskazuje się, czy poważny incydent został wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie.

02

Ostateczne zgłoszeni incydentu bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie.

03

Inny termin obowiązuje jedynie dostawców usług zaufania, ponieważ ostatecznego zgłoszenia incydentu muszą oni dokonać bez zbędnej zwłoki, a w każdy razie w ciągu 24 godzin od powzięcia informacji o takim poważnym incydencie.

OXARI SERVICE DESK

ServiceDesk, jako jeden z głównych modułów systemu OXARI, pozwala na kategoryzację typów obsługiwanych zgłoszeń. Jednym z nich jest incydent bezpieczeństwa. Istotą sprawy przekładającą się na realną korzyść jest możliwość opisania procesu, który narzuci systemowy sposób obsługi zgłoszenia tego typu.

Zgłaszaj incydenty w prawidłowy sposób i przechowuj dane, na wypadek kontroli lub poważnego zdarzenia.

dyrektywa NIS2

Jakie są kary za niedostosowanie się do przepisów NIS2?

Niedostosowanie się do przepisów dyrektywy NIS2 może skutkować różnymi sankcjami. Jednym z najważniejszych narzędzi egzekwowania NIS 2 są kary finansowe. Kary za uchylanie się od spełnienia obowiązków wynoszą do 10 mln euro lub 2% łącznego światowego obrotu dla podmiotów kluczowych oraz do 7 mln euro, lub 1,4% łącznego światowego obrotu w poprzednim roku dla podmiotów ważnych.

Jakie polityki bezpieczeństwa będą konieczne?

Polityka zarządzania ryzykiem

Odnosząca się do identyfikacji, analizy, oceny
i minimalizacji ryzyka związanego z cyberbezpieczeństwem

Polityka obsługi incydentu

Służyć będzie prawidłowej obsłudze incydentu i obejmować będzie fazy wykrycia, reakcji, raportu, wniosków i działań następczych.
Jej elementem będzie część dot. Zgłaszana incydentów do odpowiednich organów.

Polityka bezpieczeństwa łańcucha dostaw

Odnosić się będzie do wymogów stawianych podmiotom zewnętrznym przy współpracy

Polityka cyberhigieny

Służyć będzie wdrożeniu
i przestrzegani ogólnych zasad dotyczących cyberbezpieczeństwa – powinna być przewodnikiem dla pracowników.

Polityka kontroli dostępu

Regulować będzie kwestie związane z dostępem fizycznym
i logicznym

OXARI ASSET MANAGEMENT
PROSTE WDROŻENIE NIS 2

Pełna kontrola nad zasobami IT z OXARI

  • Ewidencja sprzętu i oprogramowania
  • Bezpieczne przechowywanie danych
  • Tworzenie polityk NIS2
  • I wiele więcej!
dyrektywa NIS2 implementacja

Jakie działania musi podjąć Twoja firma w związku NIS2?

Operatorzy usług kluczowych i ważnych muszą podjąć odpowiednie działania mające na celu spełnienie wymagań dyrektywy NIS2. Aby zadbać o wzrost poziomu cyberbezpieczeństwa, konieczne jest przeprowadzenie audytu obecnych środków zabezpieczających oraz opracowanie nowego planu zarządzania ryzykiem, zgodnego z wdrażanymi normami. Skutecznym wsparciem są również profesjonalne systemy przeznaczone do stałej kontroli i monitoringu całej infrastruktury IT w organizacji.

Monitorowanie infrastruktury IT sposobem na spełnienie wymogów dyrektywy NIS2

OXARI Asset Management zapewnia sprawną ewidencję sprzętu i oprogramowania oraz bezpieczne przechowywanie danych, a także umożliwia tworzenie i zarządzanie polityką NIS2. Szybka identyfikacja problemów pozwala błyskawicznie reagować na pojawiające się incydenty bezpieczeństwa. Implementacja systemu pomaga operatorom usług kluczowych zapewnić najwyższy poziom bezpieczeństwa cybernetycznego w organizacji.

Dowiedz się więcej na temat OXARI

WYPRÓBUJ DARMOWE DEMO

Polecane

OXARI to uniwersalna platforma pozwalająca na wdrożenie profesjonalnego systemu klasy ITSM zgodnie ze standardem ITIL.

TRY FREE DEMO
  • Bezpłatny dostęp do wersji demo

    Poznaj OXARI
    za darmo

  • Możliwość testu we własnym środowisku

  • Wsparcie techniczne

  • 30 dni

Dzięki OXARI zautomatyzowaliśmy pracę działu IT. Intuicyjny interfejs oraz swoboda w dostosowaniu aplikacji pod indywidualne potrzeby całej organizacji jest kluczowym atutem oprogramowania wspierającego usługi Asset Management.

Filip Kielban
Kierownik Projektów IT

1

Wybierz produkty

2

Formularz

3

Gotowe

Wybierz produkty

OXARI AI
Sztuczna inteligencja
OXARI ServiceDesk
Incydenty, problemy, analiza SLA
Workflow
(opcjonalnie)
Knowledge Base
(opcjonalnie)
OXARI CMDB
Centralna baza konfiguracji
OXARI Asset Management
Inwentaryzacja zasobów
OXARI MDM
Zarządzanie urządzeniami mobilnymi
Centralny Rejestr Umów
Baza wiedzy, zarządzanie dokumentacją

Wybierz produkty

2

Formularz

3

Gotowe

Wypełnij formularz

Wybierz środowisko, na którym chcesz testować OXARI
Chmura OXARI
Ogólne środowisko demo.
Chmura OXARI
Dedykowane środowisko demo.
On-premise
Instalacja w Twojej infrastrukturze realizowana przez nasz zespół konsultantów.

    Po zapoznaniu się z Klauzulą informacyjną

    Wybierz produkty

    Formularz

    3

    Gotowe

    Dziękujemy za wybranie OXARI.
    Skontaktujemy się z Tobą w ciągu kilku godzin.

    Chcesz poznać indywidualną wycenę,
    skrojoną na miarę Twoich potrzeb?