NIS2 - nowe wymogi dotyczące cyberbezpieczeństwa

NIS2 - nowe wymogi dotyczące cyberbezpieczeństwa

Autor: Maja Lazurowicz

Opublikowano: 6/10/2024, 2:00 PM

Liczba odsłon: 3541

O NIS2 słyszał już zapewne każdy przedsiębiorca. Ta przełomowa dyrektywa to krok w stronę wzmocnienia bezpieczeństwa cybernetycznego na terenie Unii Europejskiej. Ale co to dokładnie jest, co ma na celu i przede wszystkim, co oznacza dla przedsiębiorców? Na te pytania odpowiadamy w tym materiale.

Co to jest NIS2?

Dyrektywa w sprawie bezpieczeństwa sieci i informacji NIS2 (Network and Information Systems Directive 2) to unijny dokument zawierający kompleksowy zbiór przepisów dotyczących cyberbezpieczeństwa obejmujący 18 sektorów i branż.

Ta nowa europejska dyrektywa ustanawia standardy bezpieczeństwa informatycznego, które państwa członkowskie Unii Europejskiej muszą spełnić, a termin implementacji wytycznych upływa 17 października 2024 roku.

Jaki jest cel NIS2?

Celem dyrektywy NIS2 jest ustanowienie podstawowych środków bezpieczeństwa dla dostawców usług cyfrowych i operatorów usług kluczowych w państwach członkowskich, ograniczenie zagrożeń dla sieci i systemów informatycznych oraz poprawa ogólnego poziomu cyberbezpieczeństwa w UE.

Harmonizacja wymogów cyberbezpieczeństwa i ich egzekwowanie poprzez dyrektywę pozwoli zminimalizować ryzyko występowania zaawansowanych cyberataków i związanych z nimi ewentualnych skutków, szkodliwych dla gospodarki, firm i obywateli, a także zapewni ciągłość usług w przypadku występowania incydentów.

Ochrona danych i informacji

Dlaczego NIS1 zostaje rozszerzona?

Dyrektywa NIS2 jest nowelizacją pierwszego europejskiego prawa dot. Cyberbezpieczeństwa. NIS1 zostaje zastąpiona przez NIS2, aby zwiększyć zakres ochrony, który okazał się niewystarczający. Nowa dyrektywa wprowadza więcej nowych wytycznych w odpowiedzi na postępującą transformację cyfrową i wynikające z niej rosnące potrzeby ochrony danych i systemów informatycznych. Nie można zaprzeczyć, że częstotliwość, skala, wyrafinowanie i wpływ cyberataków stają się coraz poważniejsze i w rezultacie mogą utrudniać prowadzenie działalności, powodować straty finansowe i szkody dla społeczeństwa. Ponadto, NIS1 zostaje uaktualniona, aby ujednolicić przepisy dot. cyberbezpieczeństwa w całej Unii Europejskiej i zniwelować różnice między państwami członkowskimi.

Co NIS2 oznacza z punktu widzenia biznesu?

NIS2 nakłada na firmy wiele nowych wymagań w porównaniu do poprzedniej wersji. Organizacje będą musiały wdrożyć strategie zarządzania ryzykiem, zasady obowiązkowego raportowania incydentów bezpieczeństwa, kontrolę łańcucha dostaw oraz pełną inwentaryzację zasobów cyfrowych.

Nowe przepisy kładą nacisk na szkolenia dla pracowników z zakresu cyberbezpieczeństwa, uwierzytelnianie wieloskładnikowe, a także procedury dotyczące danych wrażliwych i kryptografii.

Kluczową zmianą jest rozszerzenie działania dyrektywy na więcej sektorów i typów usług.

(Ze względu na wielkość i ważność podmioty objęte dyrektywą dzielą się na kluczowe i ważne. Do podmiotów kluczowych, które zatrudniają ponad 250 pracowników i osiągają obrót roczny w wysokości min. 50 mln euro zaliczają się sektory, takie jak: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna i przestrzeń kosmiczna. Do podmiotów ważnych, które zatrudniają ponad 50 pracowników i osiągają obrót roczny na poziomie 10-50 mln euro zaliczają się: usługi pocztowe i kurierskie, zarządzanie odpadami, produkcja i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja urządzeń medycznych, komputerów, elektroniki, sprzętu elektrycznego, maszyn i urządzeń, pojazdów silnikowych, przyczep i naczep, innych środków transportu, dostawcy usług cyfrowych oraz badania naukowe.)

Bezpieczeństwo w sieci

Konsekwencje niezastosowania się do dyrektywy NIS2

Państwa członkowskie są zobowiązane do wprowadzenia nowych wytycznych do 17 października 2024 roku, a niezastosowanie się do dyrektywy niesie za sobą poważne konsekwencje finansowe i prawne. NIS2 nakłada kary pieniężne i różnicuje ich wysokość dla podmiotów kluczowych oraz ważnych, ale proporcjonalnie do naruszenia.

Podmioty kluczowe podlegają karze sięgającej nawet 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Z kolei podmioty ważne podlegają grzywnie w wysokości 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa.

Jednak kary finansowe to nie jedyne skutki niewdrożenia nowych wytycznych w firmie. Do odpowiedzialności może zostać pociągnięty zarząd firmy, otrzymując sankcje niepieniężne, np. zakaz pełnienia funkcji kierowniczych, zawieszenie zezwoleń lub nakaz wydania publicznego oświadczenia o niedopełnieniu warunków dyrektywy i możliwych zagrożeniach. Jak widać, nieprzestrzeganie przepisów tych nowych regulacji rzutuje nie tylko na sytuację finansową firmy, ale także na reputację marki.

Jak rozwiązania Microsoft zapewniają zgodność z dyrektywą NIS2?

Założenia dyrektywy NIS2 mogą wydawać się trudne do wdrożenia, wymagające wielu różnych rozwiązań i skomplikowanych działań. Jednak z odpowiednimi narzędziami spełnienie tych wymogów nie jest niemożliwe. Kluczowe jest jedno, kompleksowe środowisko do zarządzania zabezpieczeniami w całym przedsiębiorstwie. Takim środowiskiem może być obszerny system rozwiązań zabezpieczających firmy Microsoft. Są one w pełni zintegrowane i pomagają zapewnić kompleksową ochronę. Zgodność z przepisami i funkcje nadzoru nad danymi są już wbudowane w platformę. Oto główne narzędzia Microsoft, które pomogą zapewnić zgodność z NIS2:

  • Microsoft 365 – łączy możliwości Office 365, Windows oraz Enterprise Mobility + Security, zapewniając jednolite środowisko do monitorowania zabezpieczeń i zarządzania nimi w całej firmie.
  • Azure Sentinel – zaawansowane narzędzie SIEM zapewnia inteligentną analizę zabezpieczeń w czasie rzeczywistym dla całego przedsiębiorstwa, pomaga wykrywać zagrożenia i proaktywnie reagować.
  • Microsoft Purview – ujednolicone rozwiązanie, które zapewnia ochronę wszystkich danych na platformach, w aplikacjach i w chmurze.
  • Menedżer zgodności Microsoft – pomoże zachować zgodność z przepisami, poprzez mechanizmy kontroli, wskaźniki zgodności i aktualizacje wytycznych.

To tylko kilka przykładów rozwiązań Microsoft. W tabeli poniżej prezentujemy dokładny wykaz, jakie aplikacje odpowiadają wymaganiom dyrektywy NIS2:

Tabela wymagań NIS2 i rozwiązań Microsoft

CentrumXP pomoże Twojej organizacji w dostosowaniu się do NIS2

Zabezpieczenie zasobów danych w organizacji i spełnienie najnowszych wymogów regulacji stanie się priorytetem dla wielu przedsiębiorstw. Warto powierzyć ten proces doświadczonym specjalistom. CentrumXP pomoże Ci w przygotowaniu firmy do wdrożenia niezbędnych wymogów określonych w dyrektywie. Już teraz sprawdź naszą ofertę Audytu zgodności z NIS2.

CentrumXP - czy twoja organizacja jest gotowa na NIS2?

Źródło: microsoft.com, oficjalna strona Unii Europejskiej, opracowanie własne.

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia