Wieści o nowych przepisach dotyczących cyberbezpieczeństwa pojawiły się pod koniec 2022 roku. To właśnie wtedy opublikowano tekst Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zwaną w skrócie Dyrektywa NIS2.
Wprowadza ona spore zmiany dla przedsiębiorców. Odtąd będą oni musieli lepiej zadbać o cyberbezpieczeństwo swojej firmy. W przeciwnym razie narażą się na srogie kary.
Dyrektywa NIS2 – kogo dotyczy?
Dyrektywa NIS2 precyzyjnie określa zakres podmiotów, które będą podlegać nowym przepisom. Dotyczy to kluczowych i ważnych podmiotów z 18 sektorów gospodarki, w tym energetyki, transportu, bankowości, ochrony zdrowia, infrastruktury cyfrowej i administracji publicznej. Przepisy będą obejmować średnie i duże przedsiębiorstwa, z kilkoma wyjątkami.
Szczegółowy zakres podmiotów podlegających pod NIS2 określa załącznik 2 do pełnego tekstu dyrektywy. Polski ustawodawca rozszerzył go o kolejne podmioty. Wśród wyjątków, które podlegają pod NIS2 niezależnie od swojej wielkości, wymienione zostały m.in. podmioty administracji publicznej czy podmioty świadczące usługi rejestracji nazw domen.
Czasu jest coraz mniej. Nowe przepisy obowiązywać będą od połowy października tego roku.
Potrzebujesz szczegółowych informacji? Pobierz naszą rozbudowaną ulotkę o dyrektywie NIS2 ZA DARMO!
Co zmienia dyrektywa NIS2?
Dyrektywa NIS2 aktualizuje unijne prawo dotyczące cyberbezpieczeństwa, ustalając środki niezbędne do podniesienia i zapewnienia wysokiego, wspólnego poziomu bezpieczeństwa IT w państwach członkowskich UE. Nowe regulacje mają na celu poprawę ochrony sieci i systemów informatycznych oraz minimalizację ryzyka cyberataków w różnych sektorach gospodarki.
Przedsiębiorcy będą zobowiązani między innymi do:
- Zgłaszania incydentów bez zbędnej zwłoki
- Powiadamiania odbiorców usług o potencjalnych cyberzagrożeniach i środkach zaradczych
- Regularnych audytów bezpieczeństwa IT (co najmniej raz na dwa lata)
Jednak to nie wszystko. Dyrektywa NIS2 wprowadza obowiązek posiadania polityk umożliwiających zarządzanie ryzykiem, systemów do obsługi incydentów, a także rozwiązań zapewniających ciągłość działania. Przedsiębiorcy powinni wdrożyć te rozwiązania do 17 października 2024 roku.
Wprowadzaj zmiany lub płać dotkliwe kary
Motywacją do wprowadzenia zmian opisany w NIS2 mają być kary. Przedsiębiorstwa, które nie będą spełniać wymogów, narażają się na kary pieniężne, ale nie tylko. Odpowiedzialnością za wykonanie obowiązków w zakresie cyberbezpieczeństwa ma być obciążony kierownik podmiotu.
Kary pieniężne, o których mowa, sięgają kilku milionów euro. Podmioty kluczowe mogą być ukarane kwotą co najmniej 10 mln euro lub co najmniej 2% łącznego rocznego światowego obrotu, natomiast podmioty ważne mogą otrzymać karę w wysokości co najmniej 7 mln euro lub 1,4% łącznego rocznego światowego obrotu.
Jak to będzie wyglądać w praktyce? Tekst dyrektywy NIS2, a także implementująca go w Polsce ustawa, określają systemy służące monitoringowi. Oddelegowane do tego instytucje i urzędy od października mogą przeprowadzać kontrole i sprawdzać, czy firma spełnia wymogi NIS2. Pomocny w tym będzie także system służący do monitorowania tego, czy firmy wykonują wymagane audyty IT.
Jak przygotować firmę na dyrektywę NIS2?
Przedsiębiorcy powinni już teraz zacząć przygotowywać się do wdrożenia nowych przepisów, aby zminimalizować ryzyko związane z cyberzagrożeniami. Warto rozważyć audyt IT, który pozwoli zidentyfikować słabe punkty systemu informatycznego i wprowadzić odpowiednie poprawki.
Konieczne będzie wdrożenie tych rozwiązań IT, o których mówi NIS2, a których firma nie posiada. Rozwiązania te mają być adekwatne i proporcjonalne m.in. do wielkości firmy i jej stopnia narażenia na ryzyko. Mogą być to między innymi system kopii zapasowej, system szyfrowania danych, czy systemy monitorowania i zbierania logów.
Zapisz się na konsultację z ekspertem IT
Zarówno planowanie, jak i proces wdrażania zmian możesz przejść pod okiem specjalisty IT. Zapewni Ci to płynną i spokojną adaptacje. Już dzisiaj możesz zaplanować konkretne kroki, jakie podejmiesz w związku z dyrektywą NIS2 i przygotujesz swoją firmę. Zapisz się na darmowe konsultacje w Global IT!
Bezpłatna konsultacja IT – i co dalej?
Pierwszy krok leży po Twojej stronie: zapisujesz się na rozmowę z naszym konsultantem na stronie www. Już następne dnia odzywamy się do Ciebie i podczas rozmowy rozpoznajemy Twoje potrzeby. Zwykle w tym momencie staramy się ustalić termin audytu IT. Następnie w Twojej firmie zjawia się nasz inżynier IT, który identyfikuje krytyczne zasoby sieci. Po kilku dniach otrzymujesz raport z audytu IT oraz propozycję dalszych działań. Następnie sam decydujesz o dalszych krokach, czyli o wdrożeniu ewentualnych zmian, które przygotują Twoją firmę do nowych przepisów z zakresu cyberbezpieczeństwa.
Przygotuj się na zmianę przepisów dotyczących cyberbezpieczeństwa. Jeśli chcesz wiedzieć więcej, zobacz naszą rozbudowaną informację o dyrektywie NIS2:
