whatsnext.pl – blog o IT, social media, AI, technologii, marketingu i lifestyle

  • Firma

Kogo dotyczy dyrektywa NIS2?

Cyberatak może dziś zatrzymać produkcję, zablokować dostęp do systemów sprzedaży albo uniemożliwić świadczenie usług medycznych. Dyrektywa NIS2 rozszerza obowiązki firm w zakresie ochrony systemów IT i danych, a jej skutki odczują nie tylko największe organizacje. Nowe przepisy oznaczają konieczność uporządkowania kwestii bezpieczeństwa, przygotowania się na incydenty oraz zapewnienia możliwości szybkiego odtworzenia działania po awarii lub ataku.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (UE 2022/2555) została przyjęta w 2022 r. i zastąpiła wcześniejszą NIS1. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej oraz ujednolicenie wymagań wobec firm działających w sektorach istotnych dla państwa i gospodarki. Zakres podmiotów objętych regulacją jest znacznie szerszy niż wcześniej.

Dla przedsiębiorcy oznacza to konkretne obowiązki. Firma musi nie tylko chronić się przed atakiem, ale także wykazać, że potrafi ograniczyć skutki incydentu, utrzymać ciągłość działania oraz szybko przywrócić systemy i dane. Brak przygotowania może prowadzić do wielodniowych przestojów, zerwania umów z kontrahentami oraz wysokich kar finansowych.

Jakich sektorów dotyczy NIS2?

Regulacja obejmuje podmioty działające w sektorach uznanych za szczególnie istotne dla funkcjonowania państwa i obywateli. Chodzi o obszary, w których zakłócenie działania jednej organizacji może wywołać efekt łańcuchowy.

Do sektorów objętych dyrektywą należą m.in.:

  • sektor energii elektrycznej, w tym wytwarzanie, przesył, dystrybucja oraz infrastruktura ładowania;

  • systemy ciepłownicze i chłodnicze oraz infrastruktura ropy naftowej, gazu i wodoru;

  • transport lotniczy, kolejowy, wodny oraz drogowy;

  • bankowość i infrastruktura rynku finansowego;

  • ochrona zdrowia, w tym podmioty lecznicze oraz wybrani producenci produktów farmaceutycznych i wyrobów medycznych;

  • systemy zaopatrzenia w wodę pitną i odprowadzania ścieków;

  • infrastruktura cyfrowa, centra danych, usługi chmurowe i łączność elektroniczna;

  • sektor kosmiczny.

Zakres obejmuje również inne branże, takie jak usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów oraz żywności, a także dostawców internetowych platform handlowych, wyszukiwarek i serwisów społecznościowych.

Jakie firmy są objęte NIS2?

Podmioty z wymienionych sektorów zostały podzielone na podmioty kluczowe oraz ważne. Różnica dotyczy poziomu nadzoru i wysokości sankcji. W przypadku poważnych naruszeń kary mogą sięgać do 10 mln euro dla podmiotów kluczowych oraz do 7 mln euro dla podmiotów ważnych.

Co do zasady przepisy obejmują średnie i duże przedsiębiorstwa działające we wskazanych sektorach. Jednak także małe i średnie firmy mogą zostać objęte regulacją, jeżeli ich działalność ma istotny wpływ na funkcjonowanie danego obszaru. W praktyce oznacza to, że sama wielkość firmy nie przesądza o wyłączeniu z obowiązków.

Czy to dotyczy mojej firmy?

Wstępną ocenę można przeprowadzić samodzielnie, analizując kilka podstawowych kwestii. Nie wymaga to szczegółowej wiedzy prawnej, lecz sprawdzenia charakteru działalności i relacji biznesowych. To również odpowiedni moment, aby ocenić, czy firma jest faktycznie przygotowana na incydent – czy Twój backup spełnia wymagania NIS2 oraz czy obowiązujące procedury umożliwiają szybkie przywrócenie dostępu do danych.

Zastanów się, czy:

  • działasz w jednym z sektorów wskazanych w dyrektywie,

  • Twoja firma spełnia kryteria średniego lub dużego przedsiębiorstwa,

  • realizujesz usługi na rzecz podmiotów objętych NIS2,

  • Twoja działalność ma wpływ na ciągłość działania większego partnera biznesowego.

Jeżeli choć jedna z tych sytuacji ma miejsce, warto założyć, że wymogi NIS2 będą miały zastosowanie bezpośrednio albo pośrednio. W wielu przypadkach to kontrahent będzie wymagał spełnienia określonych standardów bezpieczeństwa jako warunku dalszej współpracy.

NIS2 a łańcuch dostaw

Nowe przepisy mocno akcentują odpowiedzialność za łańcuch dostaw. Podmiot objęty dyrektywą musi oceniać ryzyko związane ze swoimi dostawcami i sprawdzać, czy spełniają oni wymagania w zakresie bezpieczeństwa.

W praktyce oznacza to, że firma IT obsługująca operatora energetycznego albo producent komponentów dla sektora transportowego mogą zostać zobowiązani do wdrożenia procedur bezpieczeństwa, mimo że formalnie nie zostali zakwalifikowani jako podmioty kluczowe lub ważne. Brak spełnienia wymogów może skutkować utratą kontraktu, ponieważ większe podmioty nie będą mogły współpracować z partnerami niespełniającymi standardów.

Co trzeba wdrożyć w praktyce?

Dyrektywa nie ogranicza się do ogólnych zaleceń. Wymaga wprowadzenia rozwiązań, które ograniczają ryzyko incydentów oraz pozwalają sprawnie reagować w sytuacji kryzysowej.

Najczęściej oznacza to:

  • przeprowadzenie analizy ryzyka i jej regularną aktualizację,

  • opracowanie oraz wdrożenie polityk bezpieczeństwa informacji,

  • tworzenie kopii zapasowych oraz testowanie procesu odtwarzania danych i systemów,

  • przygotowanie planów ciągłości działania i procedur reagowania na incydenty,

  • szkolenia pracowników oraz kadry zarządzającej,

  • wdrożenie mechanizmów zgłaszania incydentów do właściwych organów.

W kontekście kopii zapasowych oraz planów ciągłości działania warto dokładniej przeanalizować wymagania dla backupu i DR w kontekście NIS2, aby upewnić się, że przyjęte rozwiązania odpowiadają zakresowi dyrektywy.

Samo posiadanie dokumentów nie jest wystarczające – organizacja musi wykazać, że rozwiązania bezpieczeństwa realnie działają i pozwalają ograniczyć skutki ataku lub awarii. 

Jakie firmy są zwolnione z NIS2?

Nie wszystkie organizacje podlegają nowym obowiązkom. Wyłączone są m.in. podmioty świadczące usługi wyłącznie na rzecz administracji publicznej w obszarze bezpieczeństwa narodowego, obronności lub egzekwowania prawa.

Część przedsiębiorców może również podlegać odrębnym regulacjom sektorowym, takim jak rozporządzenie DORA dotyczące operacyjnej odporności cyfrowej sektora finansowego. W takich przypadkach zakres obowiązków może być określony innymi przepisami.

Warto jednak pamiętać, że błędna interpretacja wyłączeń lub brak zgodności z regulacjami może wiązać się z poważnym ryzykiem finansowym i organizacyjnym – sprawdź, jakie są kary i konsekwencje braku zgodności z NIS2

Najczęstsze pytania dotyczące NIS2

  1. Czy mała firma może zostać objęta NIS2?

Tak. Jeżeli działa w sektorze wskazanym w dyrektywie i jej działalność ma istotny wpływ na funkcjonowanie danego obszaru, właściwy organ może nadać jej status podmiotu ważnego lub kluczowego.

  1. Czy NIS2 dotyczy tylko firm IT?

Nie. Regulacja obejmuje wiele branż, w tym energetykę, transport, ochronę zdrowia, bankowość, gospodarkę wodną oraz sektor cyfrowy. Firmy technologiczne są jedynie częścią tej grupy.

  1. Czy brak przygotowania oznacza wyłącznie karę finansową?

Nie. Ryzykiem są także przestoje operacyjne, brak dostępu do danych, konsekwencje po stronie zarządu oraz utrata kontraktów wynikająca z niespełnienia wymogów bezpieczeństwa. 

  1. Od czego zacząć przygotowania do NIS2?

Pierwszym krokiem jest sprawdzenie, czy firma działa w sektorze objętym regulacją oraz czy spełnia kryteria wielkościowe. Następnie należy ocenić poziom zabezpieczeń, procedury reagowania na incydenty oraz zdolność do odtworzenia systemów po awarii.

Autor artykułu:

Tomasz Wolski

Tomasz Wolski

Cześć, tu Tomek! Zawodowo jestem IT Managerem, ale w duszy pozostaję technologicznym geekiem. Stworzyłem to miejsce, by dzielić się zajawką na innowacje, gadżety i cyfrowy lifestyle. Przyglądam się nowinkom technologicznym, szukając w nich inspiracji i rozwiązań, które ułatwiają życie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Redakcja poleca

Aleksandra Kostrzewska - wiek, mąż, wikipedia, wzrost

Aleksandra Kostrzewska – wiek, mąż, wikipedia, wzrost

  • Porady, Redakcja poleca
Kamila Kalińczak - mąż, Wikipedia, ile ma lat, życiorys, pierwszy mąż, prywatnie, kiedyś, wiek, rodzina, dzieci

Kamila Kalińczak – mąż, Wikipedia, ile ma lat, życiorys, pierwszy mąż, prywatnie, kiedyś, wiek, rodzina, dzieci

Sylwia Peretti - kim jest? Wiek, wzrost, rodzeństwo, Wikipedia, mąż, mężowie, czym się zajmuje

Sylwia Peretti – kim jest? Wiek, wzrost, rodzeństwo, Wikipedia, mąż, mężowie, czym się zajmuje

Jak anulować subskrypcję Disney+

Jak anulować subskrypcję Disney+? Krok po kroku

Podobne artykuły

  • Telefon

Jakie etui na iPhone 17 Pro? Zobacz polecane propozycje!

iphone-17-pro_wp-1779868981
  • Porady

Plany dla każdego, wybierz ofertę dopasowaną do Ciebie

Plany dla każdego, wybierz ofertę dopasowaną do Ciebie
  • Porady

Konto Steam jako cyfrowe aktywo: dlaczego biblioteka gier ma rzeczywistą wartość

pexels-arturoaez225-9180943
  • Technologie

Klawiatury gamingowe jako element nowoczesnego setupu

Klawiatury gamingowe jako element nowoczesnego setupu