Najciekawsze informacje z Polski i ze świata

Reklama

Strona główna
Dyrektywa NIS2 i cyberbezpieczeństwo. Od kiedy firmy będą miały nowe obowiązki

Dyrektywa NIS2 i cyberbezpieczeństwo. Od kiedy firmy będą miały nowe obowiązki

Dyrektywa NIS2 i cyberbezpieczeństwo. Od kiedy firmy będą miały nowe obowiązki
Foto: Michał Jakubowski / unsplash.com

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, tzw. dyrektywa NIS 2, to nowelizacja dyrektywy NIS, pierwszego europejskiego prawa w zakresie cyberbezpieczeństwa. Sprawdź, jakie obowiązki wynikają z niej dla małych i średnich przedsiębiorców.

Reklama

Kto będzie stosował NIS2

Dyrektywa NIS2 nakłada szereg obowiązków z zakresu cyberbezpieczeństwa na większych przedsiębiorców określanych jako podmioty kluczowe. Część obowiązków dotyczy również małych i średnich przedsiębiorców oraz mikroprzedsiębiorców.

Dyrektywa NIS2 dzieli przedsiębiorców na:

  • podmioty kluczowe,
  • podmioty ważne.

Te grupy różnią się poziomem nadzoru, tym w jaki sposób są egzekwowane wymagania z zakresu cyberbezpieczeństwa oraz wysokością kar.

Ministerstwo Cyfryzacji może zdecydować, że określone małe przedsiębiorstwa i mikroprzedsiębiorstwa będą objęte obowiązkami wynikającymi z NIS2 i zostaną zakwalifikowane jako podmiot kluczowy albo podmiot ważny, jeżeli spełnią szczególne kryteria. Taka kwalifikacja może wynikać z oceny roli firmy dla społeczeństwa, gospodarki, konkretnych sektorów lub rodzajów usług.

Podmioty kluczowe i ważne, aby zwiększyć swoją odporność na cyberzagrożenia, muszą wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Środki te obejmują bezpieczeństwo łańcucha dostaw – pomioty kluczowe i ważne mają obowiązek kontroli swych dostawców lub klientów biznesowych, nawet jeśli ci dostawcy lub klienci nie są objęci Dyrektywą NIS2.

W konsekwencji, jeśli firmy z łańcucha dostaw będą chciały utrzymać współpracę z podmiotem ważnym albo z podmiotem kluczowym, jako poddostawcy, kontrahenci, klienci biznesowi, muszą wdrożyć odpowiednie środki bezpieczeństwa i spełniać wymagania z zakresu cyberbezpieczeństwa wynikające z Dyrektywy NIS2.

Które sektory są objęte Dyrektywą

Dyrektywa NIS2 dotyczy głównie średnich i dużych firm, które działają w sektorach o wysokim stopniu krytyczności, czyli:

  • energia,
  • energia elektryczna, w tym systemy produkcji, dystrybucji i przesyłu oraz punkty ładowania,
  • ciepłownictwo i chłodnictwo,
  • ropa naftowa, w tym rurociągi produkcyjne, magazynowe i przesyłowe,
  • gaz, w tym systemy dostaw, dystrybucji i przesyłu oraz magazynowanie,
  • wodór,
  • transport lotniczy, kolejowy, wodny i drogowy,
  • infrastruktura bankowa i rynku finansowego, jak instytucje kredytowe, operatorzy systemów obrotu i partnerzy centralni,
  • zdrowie, w tym podmioty świadczące opiekę zdrowotną, producenci podstawowych produktów farmaceutycznych i wyrobów medycznych o krytycznym znaczeniu oraz laboratoria referencyjne UE,
  • woda pitna,
  • ścieki,
  • infrastruktura cyfrowa, w tym dostawcy usług centrów danych, usług przetwarzania w chmurze, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej,
  • usługi zarządzane przez TIK (między przedsiębiorstwami),
  • przestrzeń.

Reklama

Firmy z innych sektorów krytycznych

  • usługi pocztowe i kurierskie
  • gospodarka odpadami
  • produkcja, wytwarzanie i dystrybucja chemikaliów
  • produkcja, przetwarzanie i dystrybucja żywności
  • produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego
  • dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych.

Którzy przedsiębiorcy nie są objęci NIS2

Dyrektywy NIS2 nie stosują:

  • przedsiębiorcy, którzy świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, prowadzący działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania,
  • przedsiębiorcy, którzy zostaną zwolnieni z obowiązków ustanowienia środków zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszania incydentów w odniesieniu do prowadzonych przez siebie działań lub świadczonych usług,
  • przedsiębiorców, którzy zostali zwolnieni ze stosowania DORA.

Kiedy przepisy obowiązują niezależnie od wielkości firmy

Zgodnie z Dyrektywą NIS2, przedsiębiorcy, którzy świadczą określone usługi cyfrowe z sektora infrastruktury cyfrowej są objęci obowiązkami wynikającymi z NIS2, niezależnie od wielkości.

Przedsiębiorcy objęci NIS2 niezależnie od wielkości to:

  • dostawcy usług TLD (top level domain)
  • dostawcy usług DNS (domain name server)
  • dostawcy kwalifikowanych usług zaufania
  • dostawcy publicznych sieci łączności elektronicznej
  • dostawcy publicznie dostępnych usług łączności elektronicznej

Małe lub średnie firmy, który zostaną zakwalifikowane przez właściwe organy krajowe jako podmiot krytyczny (zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE).

Reklama

Kiedy NIS2 obowiązuje MŚP

Dyrektywa NIS 2 obowiązuje mikro, małe i średnie firm, które spełniają jeden z dwóch warunków:

  • świadczą usługi w sektorze objętym NIS2 na terenie UE i nie zostały sklasyfikowane jako podmioty kluczowe
  • albo:
  • są dostawcą usługi, która ma w Polsce kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej
  • zakłócenie usługi, którą świadczą, mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne
  • zakłócenie usługi, którą świadczą mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny
  • zakłócenie usługi, którą świadczą, mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny
  • mają charakter krytyczny ze względu na ich szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi lub dla innych współzależnych sektorów w kraju.

Rejestr podmiotów ważnych i kluczowych

To przedsiębiorca musi samodzielnie określić, czy jest średnim przedsiębiorcą i czy świadczy usługę lub usługi w sektorze objętym dyrektywą NIS2. Jest to mechanizm samoidentyfikacji.

Jeżeli jesteś podmiotem objętym NIS2, masz obowiązek wpisać się do rejestru podmiotów kluczowych i ważnych, prowadzonego przez Ministra Cyfryzacji.

Wniosek o wpis do wykazu przekażesz elektronicznie, w terminie określonym przez Ministra.

Obowiązki firm objętych Dyrektywą NIS2

Zgodnie z NIS2 przedsiębiorca ważny (średni, mały lub mikro) musi:

  • wdrożyć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w firmie,
  • zgłaszać incydenty cyberbezpieczeństwa.

Wdrożenie odpowiednich środków w firmie

Dyrektywa NIS2 nie określa, jakie konkretnie środki zarządzania ryzykiem w cyberbezpieczeństwie powinien wdrożyć przedsiębiorca. Wskazuje jednak, że mają one być:

  • proporcjonalne,
  • uwzględniające stopień narażenia podmiotu na ryzyko,
  • uwzględniające wielkość podmiotu,
  • uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.

To oznacza, że firmy same muszą zdefiniować właściwe środki, zgodnie ze swoją specyfiką i wdrożyć je bez zbędnej zwłoki. Takie podejście pozwala przedsiębiorcom zachować elastyczność.

Jednocześnie firmy objęte NIS2 powinny co najmniej zapewnić:

  • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,
  • obsługę incydentu,
  • ciągłość działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
  • bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczących stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
  • bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Regularne szkolenia

Przedsiębiorca ma obowiązek zgłosić osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorują ich wdrażanie i ponoszą odpowiedzialność za ewentualne naruszenia dyrektywy NIS2. Te osoby lub organy powinny odbywać regularne szkolenia, które pozwolą im zdobyć wiedzę wystarczającą do prawidłowego rozpoznania i oceny praktyki zarządzania ryzykiem w cyberbezpieczeństwa oraz ich wpływu na usługi świadczone przez firmę. Osoby lub organy zarządzające w firmie powinny oferować podobne szkolenia pracownikom (ale nie mają takiego obowiązku).

Zgłaszanie incydentów cyberbezpieczeństwa

Przedsiębiorca ma obowiązek:

  • zgłosić bez zbędnej zwłoki, właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT lub innemu organowi właściwemu (który zostanie określony w ustawie wdrażającej dyrektywę NIS2) incydent mający istotny wpływ na świadczenie przez nie usług (poważny incydent)
  • zgłosić informacje umożliwiające ustalenie transgranicznego wpływu incydentu
  • powiadomić odbiorców usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają
  • poinformować odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie; w stosownych wypadkach również należy ich poinformować o samym poważnym cyberzagrożeniu.

Od kiedy firmy będą miały nowe obowiązki

Datę wejścia w życie nowych obowiązków w zakresie cyberbezpieczeństwa określi ustawa, która dostosuje polskie przepisy do Dyrektywy NIS2. Rząd pracuje nad tą ustawą. Jej przyjęcie wstępnie zaplanowano na październik 2024 roku.

 

Dziękujemy za przeczytanie całego artykułu.

 

źródło: biznes.gov.pl, X

autor: KZ | 07.09.2024, 09:11

tagi: Technologie, Aktualności, Biznes

NIE PRZEGAP

Reklama

Reklama

W tematem.pl

Miley Cyrus pracuje nad płytą inspirowaną albumem Pink Floyd
Miley Cyrus pracuje nad płytą inspirowaną albumem Pink Floyd
Kiedy ukaże się nowy krążek?
Tomasz Kłos zatrzymany przez CBA, były reprezentant Polski usłyszał zarzuty
Tomasz Kłos zatrzymany przez CBA, były reprezentant Polski usłyszał zarzuty
Nowe informacje w sprawie
Colin Farrell nie będzie tęsknił „za tym cholernym głosem”. Zobacz nagranie
Colin Farrell nie będzie tęsknił „za tym cholernym głosem”. Zobacz nagranie
Popis aktora po zdjęciach do serialu Pingwin
Bitcoin na fali wzrostu przebija poziom 97000 dolarów
Bitcoin na fali wzrostu przebija poziom 97000 dolarów
Optymizm związany z przyszłością kryptowalut w po wyborach w USA
Matura próbna z Operonem 19–22 listopada. Harmonogram i najważniejsze informacje
Matura próbna z Operonem 19–22 listopada. Harmonogram i najważniejsze informacje
Czy jest obowiązkowa?
ANI pozywa OpenAI za nielegalne wykorzystanie treści do szkolenia AI
ANI pozywa OpenAI za nielegalne wykorzystanie treści do szkolenia AI
Fala pozwów przeciwko amerykańskiej firmie

Reklama