Czym jest dyrektywa NIS2 i czy dotyczy Twojej organizacji?

Stale zmieniający się krajobraz cyberbezpieczeństwa i rozwój wrogich grup cyberprzestępczych zmusza administratorów bezpieczeństwa do tego, aby wciąż udoskonalali swoje systemy ochronne. Niestety nie wszyscy podchodzą do tego w sposób poważny, dlatego powstało wiele uwarunkowań prawnych, które muszą spełniać firmy i organizacje, które przetwarzają kluczowe dane osobowe. Przykładem takiego zabezpieczenia jest nowa Dyrektywa NIS2, która co prawda obowiązuje już od stycznia 2023 roku, jednak ostateczny termin jej wdrożenia przypada na 17 października 2024 roku. Dlatego w tym artykule skupimy się na tym, czym jest Dyrektywa NIS2, czy Twoja organizacja musi jej przestrzegać oraz w jaki sposób spełniać jej wymogi.

Czym jest Dyrektywa NIS2?

Unijna Dyrektywa NIS2 to rozszerzenie dyrektywy NIS z 2016 roku i ma na celu podniesienie poziomu cyberbezpieczeństwa firm z kluczowych branż dla gospodarki i administracji na terenie całej Unii Europejskiej. Dyrektywa NIS2 przedstawia szczegółowe wymogi, które dotyczą zarządzania ryzykiem w systemach cyberochronnych i obowiązku raportowania potencjalnych incydentów. NIS2 rozszerza zakres zastosowania na kilka dodatkowych sektorów gospodarki, a także przewiduje surowe kary za niewywiązywanie się z obowiązków uwzględnionych w dyrektywie.

Kary za niezastosowanie się do obowiązków wyszczególnionych w dyrektywie mogą wynosić nawet do 10 mln Euro lub 2% całkowitego rocznego przychodu danej firmy.

Czy Twoja organizacja musi przestrzegać nowej Dyrektywy NIS2?

Dyrektywa NIS2 obejmuje wszystkie firmy, niezależnie od ich wielkości, które działają w branżach wyszczególnionych jako kluczowe lub ważne. Poniżej zamieszczamy, które branże są objęte nakazem zastosowania się do NIS2.

• Podmioty kluczowe:
• Energetyka
• Transport
• Bankowość
• Infrastruktura rynków finansowych
• Woda pitna
• Oczyszczanie ścieków
• Infrastruktura cyfrowa
• Zarządzanie usługami ICT (B2B)
• Administracja publiczna
• Przestrzeń kosmiczna

Podmioty ważne:

• Usługi pocztowe i kurierskie
• Gospodarowanie odpadami
• Produkcja, wytwarzanie i dystrybucja chemikaliów
• Produkcja, przetwarzanie i dystrybucja (hurtowa) żywności
• Produkcja (6 podsektorów: wyroby medyczne; komputery, wyroby elektroniczne i optyczne; urządzenia elektryczne; maszyny i urządzenia; pojazdy samochodowe, naczepy i części samochodowe; pozostały sprzęt transportowy m.in. samoloty, statki, łodzie)
• Dostawcy usług cyfrowych
• Badania naukowe

Więcej szczegółów dotyczących konkretnych branż, które muszą dopasować się do nowej dyrektywy NIS2, znajdziesz na tej stronie.

Co zrobić, jeśli Twoja firma musi spełnić wymogi NIS2?

Jeśli Twoja organizacja musi spełnić wymogi NIS2, to nie panikuj, masz czas do 17 października. Jednak warto, abyś go dobrze wykorzystał. Jednak, w jaki sposób możesz spełnić wymogi tej dyrektywy i jak konkretnie to zrobić?

Przede wszystkim musisz zadbać o rozwój systemu ochronnego w swojej firmie. Zgodnie z dyrektywami NIS2, Twój system powinien zawierać skuteczny system obronny, w skład którego powinien wchodzić antywirus, firewall, XDR i EDR, który zawiera następujące funkcje:

Ocena podatności – funkcja ta umożliwia przeprowadzenie wewnętrznego audytu bezpieczeństwa, który pokaże, które punkty końcowe w naszej sieci są podatne na ataki, np. przez brak aktualizacji.

Zarządzanie ryzykiem – umożliwia przeprowadzenia audytu bezpieczeństwa w celu zalezienia wszystkich błędnych konfiguracji. Dzięki temu narzędziu będziesz mógł wygenerować raport, który ukaże każdy błąd, który może skutkować potencjalnym atakiem na nasz system. Bitdefender GravityZone Risk Mangment umożliwia identyfikowanie i korygowanie dużej liczby zagrożeń sieciowych oraz systemów operacyjnych na poziomie punktu końcowego za pomocą zadań skanowania ryzyka, które można skonfigurować w zasadach tak, aby uruchamiały się cyklicznie na docelowych punktach końcowych .

Monitorowanie integralności – funkcja, która powiadomi administratora, gdy pracownik lub inny użytkownik naruszy integralność danego pliku.

Pamiętaj także o tym, że dyrektywa NIS2 nie reguluje tylko i wyłącznie tego, jakie narzędzia ochronne ma zawierać Twoja organizacja, lecz także to, co powinieneś zrobić, jeśli dojdzie do skutecznego cyberataku na infrastrukturę sieciową. W tym wypadku musisz złożyć oświadczenie, w którym wyjaśnisz, jak doszło do cyberincydentu, kto ponosi za niego odpowiedzialność i w jaki sposób firma przygotowała się do ochrony przed następstwami cyberataków. Dlatego niezwykle istotne jest to, aby nie tylko zadbać o odpowiedni system obronny, lecz także o edukację pracowników z zakresu podstawowych zasad cyberbezpieczeństwa.

Jeśli chcesz poznać więcej informacji dotyczących dyrektywy NIS2 i tego, w jaki sposób Bitdefender może pomóc Ci spełnić jej wymagania, to zapraszamy do kontaktu.