facebook
Adametronics logo
MENU
NIS 2

NIS 2

1440 wyświetleń

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”, dalej NIS 2.

 

 

Dyrektywa NIS 2 ustanawia jednolite ramy prawne w celu utrzymania cyberbezpieczeństwa w 18 sektorach krytycznych w całej UE. Wzywa również państwa członkowskie do określenia krajowych strategii cyberbezpieczeństwa i współpracy z UE w zakresie transgranicznego reagowania i egzekwowania przepisów

 

Należy zaznaczyć, że na ten moment projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wdrażający dyrektywę NIS 2 nie został jeszcze uchwalony (według zapowiedzi Ministerstwa Cyfryzacji przepisy mają wejść w życie w pierwszym kwartale 2025r.).

 

NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, dzieląc je na podmioty kluczowe i podmioty ważne.

 

Dyrektywa NIS2 znacząco rozszerza zakres sektorów objętych regulacjami cyberbezpieczeństwa w porównaniu do pierwotnej dyrektywy NIS. Obok dotychczas uwzględnionych sektorów, takich jak energetyka, transport, bankowość czy ochrona zdrowia, NIS2 dodaje m.in. administrację publiczną, przestrzeń kosmiczną, produkcję żywności i chemikaliów, gospodarkę odpadami czy media społecznościowe.

Wśród podmiotów kluczowych znajdują się m.in. dostawcy energii, operatorzy transportu, szpitale czy infrastruktura cyfrowa. Podmioty ważne to np. produkcja żywności, motoryzacja czy usługi pocztowe. NIS2 rozszerza także zakres sektora infrastruktury cyfrowej, włączając m.in. dostawców usług chmurowych, wyszukiwarki internetowe czy sieci dostarczania treści. Sektor kosmiczny po raz pierwszy został objęty unijnymi przepisami o cyberbezpieczeństwie.

 

 Najważniejszym jest fakt, że na podmiocie spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz usługi świadczone w sektorze objętych dyrektywą NIS2 sprawiają, że podlega dyrektywie NIS2. Wniosek o wpis do właściwego rejestru składany ma być pod rygorem odpowiedzialności karnej  za złożenie fałszywego oświadczenia.

 

Podmioty objęte NIS 2 muszą zapewnić polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, obsługę incydentów, zarządzać ciągłością działania (np. zarządzanie kopiami zapasowymi i przywracanie działania po wystąpieniu sytuacji nadzwyczajnej),  zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami, bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawnianie, polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie, polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania, bezpieczeństwa zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami, w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych. NIS2 kładzie duży nacisk na bezpieczeństwo łańcucha dostaw, zobowiązując podmioty do oceny i monitorowania ryzyka związanego z dostawcami i podwykonawcami.

Dyrektywa wprowadza także surowsze wymogi dotyczące zgłaszania incydentów – podmioty muszą informować właściwe organy o poważnych incydentach w ciągu 24 godzin od ich wykrycia. Ponadto, NIS2 wymaga od organizacji wyznaczenia punktu kontaktowego ds. cyberbezpieczeństwa oraz współpracy z organami państwowymi i CSIRT-ami. Dyrektywa zachęca także do korzystania z europejskich systemów certyfikacji cyberbezpieczeństwa w celu wykazania zgodności z wymogami.

Niewywiązanie się z obowiązków wynikających z Dyrektywy NIS 2 będzie skutkować nałożeniem sankcji finansowych. Kary te mogą wynosić:

w przypadku podmiotów z sektorów kluczowych – do 10 mln EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa,

w przypadku podmiotów z sektorów ważnych – do 7 mln EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa