Film przedstawia szczegółowe omówienie nadchodzącej unijnej dyrektywy NIS2 (Network and Information Security Directive), która zacznie obowiązywać od 18 października 2024 roku. Gospodarzem jest Marcin Pieleszek, który analizuje wpływ regulacji na firmy w Polsce i w całej Unii Europejskiej, wskazując zagrożenia, obowiązki oraz potrzebne działania adaptacyjne.
Czym jest NIS2?
Marcin Pieleszek informuje, że NIS2 to nowelizacja wcześniejszej dyrektywy NIS1 i stanowi część strategii UE zwiększającej odporność cyfrową państw członkowskich. „To jest bardzo szeroka i bardzo głęboka regulacja, która obejmuje bardzo wiele sektorów”. Główne cele to ochrona infrastruktury krytycznej, cyberbezpieczeństwo i wymuszenie konkretnych działań organizacyjnych i technicznych w przedsiębiorstwach.
Kogo dotyczy dyrektywa?
NIS2 obejmie wiele sektorów gospodarki – m.in. energetykę, transport, zdrowie, bankowość, gospodarkę wodną, administrację publiczną, usługi cyfrowe, dostawców hostingowych i rejestratorów domen. „Dotyczy ona firm zatrudniających powyżej 50 pracowników, mających minimum 10 milionów euro obrotu rocznego lub całkowitego bilansu rocznego”. Oznacza to objęcie obowiązkiem tysięcy firm w Polsce.
Kluczowe obowiązki wynikające z NIS2
Firmy objęte dyrektywą będą musiały wdrożyć szereg środków z zakresu zarządzania ryzykiem: „identyfikacja ryzyk, kontrola dostępu, reakcje na incydenty, polityki backupowe, polityki bezpieczeństwa łańcucha dostaw, zarządzanie kryzysowe”.
Dodatkowo konieczne będzie przeprowadzanie audytów, zgłaszanie incydentów cyberbezpieczeństwa (do 24h) i stosowanie dobrych praktyk branżowych. Przewidziano także obowiązek wprowadzenia roli CISO (Chief Information Security Officer) lub powierzenia tej funkcji innej kompetentnej osobie.
Sankcje za nieprzestrzeganie dyrektywy
Naruszenie przepisów będzie groziło karami: „do 10 milionów euro lub 2% całkowitego obrotu rocznego przedsiębiorstwa – w zależności od tego, która z wartości będzie wyższa”. Osoby odpowiedzialne mogą zostać indywidualnie pociągnięte do odpowiedzialności.
Kto nadzoruje wdrożenie NIS2?
W Polsce za nadzór będzie odpowiadał CSIRT NASK oraz odpowiednie jednostki sektora publicznego. Pojawi się również obowiązek rejestracji podmiotów w specjalnym rejestrze podmiotów kluczowych i ważnych.
Terminy i harmonogram
Dyrektywa NIS2 musi zostać implementowana do polskiego prawa do 17 października 2024 roku, a zacznie obowiązywać od 18 października 2024 roku. Przewidywane są dodatkowe wytyczne, akty wykonawcze oraz wsparcie dla firm w formie szkoleń i materiałów edukacyjnych.
Co robić już teraz?
Marcin Pieleszek radzi, aby firmy:
- Rozpoczęły audyt wstępny bezpieczeństwa;
- Powołały osobę odpowiedzialną za cyberbezpieczeństwo;
- Zaczęły dokumentować swoje polityki i procedury;
- Zapoznały się z materiałami edukacyjnymi i konsultowały się z ekspertami.
Zaleca także śledzenie strony o nis2, która ma stanowić centrum wiedzy i informacji o aktualizacjach legislacyjnych i narzędziach wsparcia.
Wnioski:
- Dyrektywa NIS2 ma istotny wpływ na tysiące firm w Polsce i całej UE.
- Obowiązki obejmują szeroki zakres działań technicznych, organizacyjnych i prawnych.
- Sankcje za niewdrożenie mogą być bardzo dotkliwe finansowo i osobowo.
- Przygotowanie do NIS2 należy rozpocząć natychmiast poprzez audyt i plan działań.
Tezy:
- NIS2 to narzędzie wymuszające standaryzację cyberbezpieczeństwa w UE.
- Dyrektywa obejmuje znacznie szerszy zakres firm niż wcześniejsze regulacje.
- Kary są zaprojektowane tak, aby skutecznie zmusić przedsiębiorstwa do działania.
- Firmy muszą wyznaczyć odpowiedzialnych za cyberbezpieczeństwo i wdrożyć systemowe rozwiązania.