Czym jest dyrektywa NIS2 i czy dotyczy Twojej organizacji?
Piotr R
2 maja 2024
Stale zmieniający się krajobraz cyberbezpieczeństwa i rozwój wrogich grup cyberprzestępczych zmusza administratorów bezpieczeństwa do tego, aby wciąż udoskonalali swoje systemy ochronne. Niestety nie wszyscy podchodzą do tego w sposób poważny, dlatego powstało wiele uwarunkowań prawnych, które muszą spełniać firmy i organizacje, które przetwarzają kluczowe dane osobowe. Przykładem takiego zabezpieczenia jest nowa Dyrektywa NIS2, która co prawda obowiązuje już od stycznia 2023 roku, jednak ostateczny termin jej wdrożenia przypada na 17 października 2024 roku. Dlatego w tym artykule skupimy się na tym, czym jest Dyrektywa NIS2, czy Twoja organizacja musi jej przestrzegać oraz w jaki sposób spełniać jej wymogi.
Czym jest Dyrektywa NIS2?
Unijna Dyrektywa NIS2 to rozszerzenie dyrektywy NIS z 2016 roku i ma na celu podniesienie poziomu cyberbezpieczeństwa firm z kluczowych branż dla gospodarki i administracji na terenie całej Unii Europejskiej. Dyrektywa NIS2 przedstawia szczegółowe wymogi, które dotyczą zarządzania ryzykiem w systemach cyberochronnych i obowiązku raportowania potencjalnych incydentów. NIS2 rozszerza zakres zastosowania na kilka dodatkowych sektorów gospodarki, a także przewiduje surowe kary za niewywiązywanie się z obowiązków uwzględnionych w dyrektywie.
Kary za niezastosowanie się do obowiązków wyszczególnionych w dyrektywie mogą wynosić nawet do 10 mln Euro lub 2% całkowitego rocznego przychodu danej firmy.
Czy Twoja organizacja musi przestrzegać nowej Dyrektywy NIS2?
Dyrektywa NIS2 obejmuje wszystkie firmy, niezależnie od ich wielkości, które działają w branżach wyszczególnionych jako kluczowe lub ważne. Poniżej zamieszczamy, które branże są objęte nakazem zastosowania się do NIS2.
Podmioty kluczowe:
Energetyka
Transport
Bankowość
Infrastruktura rynków finansowych
Woda pitna
Oczyszczanie ścieków
Infrastruktura cyfrowa
Zarządzanie usługami ICT (B2B)
Administracja publiczna
Przestrzeń kosmiczna
Podmioty ważne:
Usługi pocztowe i kurierskie
Gospodarowanie odpadami
Produkcja, wytwarzanie i dystrybucja chemikaliów
Produkcja, przetwarzanie i dystrybucja (hurtowa) żywności
Produkcja (6 podsektorów: wyroby medyczne; komputery, wyroby elektroniczne i optyczne; urządzenia elektryczne; maszyny i urządzenia; pojazdy samochodowe, naczepy i części samochodowe; pozostały sprzęt transportowy m.in. samoloty, statki, łodzie)
Dostawcy usług cyfrowych
Badania naukowe
Więcej szczegółów dotyczących konkretnych branż, które muszą dopasować się do nowej dyrektywy NIS2, znajdziesz na tej stronie.
Co zrobić, jeśli Twoja firma musi spełnić wymogi NIS2?
Jeśli Twoja organizacja musi spełnić wymogi NIS2, to nie panikuj, masz czas do 17 października. Jednak warto, abyś go dobrze wykorzystał. Jednak, w jaki sposób możesz spełnić wymogi tej dyrektywy i jak konkretnie to zrobić?
Przede wszystkim musisz zadbać o rozwój systemu ochronnego w swojej firmie. Zgodnie z dyrektywami NIS2, Twój system powinien zawierać skuteczny system obronny, w skład którego powinien wchodzić antywirus, firewall, XDR i EDR, który zawiera następujące funkcje:
Ocena podatności – funkcja ta umożliwia przeprowadzenie wewnętrznego audytu bezpieczeństwa, który pokaże, które punkty końcowe w naszej sieci są podatne na ataki, np. przez brak aktualizacji.
Zarządzanie ryzykiem – umożliwia przeprowadzenia audytu bezpieczeństwa w celu zalezienia wszystkich błędnych konfiguracji. Dzięki temu narzędziu będziesz mógł wygenerować raport, który ukaże każdy błąd, który może skutkować potencjalnym atakiem na nasz system. Bitdefender GravityZone Risk Mangment umożliwia identyfikowanie i korygowanie dużej liczby zagrożeń sieciowych oraz systemów operacyjnych na poziomie punktu końcowego za pomocą zadań skanowania ryzyka, które można skonfigurować w zasadach tak, aby uruchamiały się cyklicznie na docelowych punktach końcowych .
Monitorowanie integralności – funkcja, która powiadomi administratora, gdy pracownik lub inny użytkownik naruszy integralność danego pliku.
Pamiętaj także o tym, że dyrektywa NIS2 nie reguluje tylko i wyłącznie tego, jakie narzędzia ochronne ma zawierać Twoja organizacja, lecz także to, co powinieneś zrobić, jeśli dojdzie do skutecznego cyberataku na infrastrukturę sieciową. W tym wypadku musisz złożyć oświadczenie, w którym wyjaśnisz, jak doszło do cyberincydentu, kto ponosi za niego odpowiedzialność i w jaki sposób firma przygotowała się do ochrony przed następstwami cyberataków. Dlatego niezwykle istotne jest to, aby nie tylko zadbać o odpowiedni system obronny, lecz także o edukację pracowników z zakresu podstawowych zasad cyberbezpieczeństwa.
Jeśli chcesz poznać więcej informacji dotyczących dyrektywy NIS2 i tego, w jaki sposób Bitdefender może pomóc Ci spełnić jej wymagania, to zapraszamy do kontaktu.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.