Wstęp
21 563 – tyle stwierdzonych incydentów bezpieczeństwa miało miejsce w 2022 roku. W przypadku ataków hackerskich, głównie koncentrowały się one na podatności środowiska Microsoft Exchange Server i służbowych skrzynek pocztowych. Ponadto, od dnia 22 lutego 2022 roku na terenie Rzeczypospolitej Polskiej obowiązuje trzeci z czterech alarmowych stopni dotyczących zagrożenia w cyberprzestrzeni (CHARLIE-CRP)[1].
W związku z rosnącą w ostatnich latach liczbą cyberzagrożeń, Parlament Europejski uchwalił Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („Dyrektywa NIS 2”).
Dyrektywa NIS 2 zawiera szereg wymagań, które będą musiały być wdrożone przez odpowiednie podmioty, pod rygorem nałożenia kary pieniężnej w kwocie do 10 mln euro.
Celem wprowadzenia Dyrektywy NIS 2 jest podwyższenie poziomu cyfrowego bezpieczeństwa podmiotów wybranych sektorów gospodarki – zdefiniowanych jako kluczowe i ważne.
Kogo dotyczy Dyrektywa NIS 2?
Dyrektywa NIS 2 może objąć podmioty prowadzące działalność w następujących sektorach:
| SEKTORY KLUCZOWE | ||
| ENERGETYKA | TRANSPORT | BANKOWOŚĆ I INFRASTRUKTURA RYNKÓW FINANSOWYCH |
| OPIEKA ZDROWOTNA | WODA PITNA | ŚCIEKI |
| INFRASTRUKTURA CYFROWA | ZARZĄDZANIE USŁUGAMI ICT (MIĘDZY PRZEDSIĘBIORSTWAMI) | PODMIOTY ADMINISTRACJI PUBLICZNEJ |
| SEKTORY WAŻNE | ||
| USŁUGI POCZTOWE I KURIERSKIE | GOSPODAROWANIE ODPADAMI | BADANIA NAUKOWE |
| PRODUKCJA, PRZETWARZANIE I DYSTRYBUCJA ŻYWNOŚCI | PRODUKCJA (NP. WYROBÓW MEDYCZNYCH I CHEMIKALIÓW) | DOSTAWCY INTERNETOWYCH PLATFORM HANDLOWYCH I INNYCH USŁUG CYFROWYCH |
Jak wdrożyć Dyrektywę NIS 2?
Wdrożenie wymagań Dyrektywy NIS 2 ma polegać na wprowadzeniu odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Wprowadzenie tych środków głównie ma na celu odpowiednie zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych.
Wdrożenie tych środków ma obejmować następujące zagadnienia:
| POLITYKA ANALIZY RYZYKA | PROCES OBSŁUGI INCYDENTU | ZAPEWNIENIE CIĄGŁOŚCI DZIAŁANIA (NP. ZARZĄDZANIE KOPIAMI ZAPASOWYMI) |
| POLITYKA KONTROLI DOSTĘPU I ZARZĄDZANIE AKTYWAMI | BEZPIECZEŃSTWO ŁAŃCUCHA DOSTAW | BEZPIECZEŃSTWO SIECI I SYSTEMÓW INFORMATYCZNYCH |
| ZARZĄDZANIE KRYZYSOWE | PODSTAWOWE PRAKTYKI CYBERHIGIENY I SZKOLENIA W ZAKRESIE CYBERBEZPIECZEŃSTWA | POLITYKI I PROCEDURY STOSOWANIA KRYPTOGRAFII I SZYFROWANIA |
| POLITYKI I PROCEDURY W ZAKRESIE ZARZĄDZANIA RYZYKIEM W CYBERBEZPIECZEŃSTWIE | BEZPIECZEŃSTWO ZASOBÓW LUDZKICH, | SYSTEMY UWIERZYTELNIAJĄCE I ZABEZPIECZAJĄCE |
Od kiedy będzie obowiązywała Dyrektywa NIS 2?
Dyrektywa NIS 2 powinna zostać wdrożona do polskiego porządku prawnego do dnia 18 października 2024 roku.
Wprowadzenie Dyrektywy NIS 2 nastąpi w drodze ustawy. Obecnie rząd pracuje nad projektem ustawy wdrażającej Dyrektywę NIS 2. Zgodnie z deklaracją wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego, projekt ustawy wdrażającej Dyrektywę NIS 2 powinien zostać zaprezentowany do końca kwietnia 2024 roku.
Niemniej, warto już teraz zweryfikować czy Twoja organizacja jest objęta Dyrektywą NIS 2 i dokonać ewentualnej identyfikacji obszarów i procesów, które będą musiały zostać przeorganizowane w związku z Dyrektywą NIS 2.
Jakie są kary za niewdrożenie Dyrektywy NIS 2?
Naruszenie założeń Dyrektywy NIS 2 będzie mogło skutkować nałożeniem administracyjnej kary pieniężnej.
W przypadku podmiotów sektora kluczowego – może to być kara w wysokości do 10 mln EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym. W przypadku podmiotów sektora ważnego – może to być kara w wysokości do 7 mln EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym.
Podsumowanie
- Zaklasyfikowanie do kategorii podmiotów ważnych lub kluczowych będzie wiązało się z szeregiem obowiązków związanych z zapewnieniem odpowiedniego poziomu cyberbezpieczeństwa danej organizacji.
- Szczegółowe wytyczne w tym zakresie zostaną wstępnie ujęte w projekcie ustawy wdrażającej Dyrektywę NIS 2, który ma zostać udostępniony do końca kwietnia 2024 roku.
- Będziemy na bieżąco monitorować postęp prac nad ustawą i informować o kierunkach wprowadzanych zmian i o stawianych przed uczestnikami rynku nowych wyzwaniach.
[1] Raport o stanie bezpieczeństwa cyberprzestrzeni w roku 2022 przygotowanego przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)
0 Komentarzy