Firmy coraz częściej zwracają uwagę na NIS2, ponieważ szacuje się, że od października 2024 roku około 100 tysięcy organizacji w całej UE zostanie objętych tymi regulacjami. Co nas czeka i jak się przygotować — omówiliśmy wszystkie pytania na naszym blogu.
Czym jest NIS2 i kogo dotyczy
NIS2 to powszechna nazwa dyrektywy UE 2022/2555. NIS to skrót od Network and Information Security (Sieć i Bezpieczeństwo Informacji). Dyrektywa obejmuje określone typy firm, które w większości stanowią infrastrukturę i systemy krytyczne (szczegóły poniżej). Numer 2 oznacza, że jest to ulepszona wersja pierwszej dyrektywy NIS wprowadzonej w 2016 roku.
Dyrektywa nie dotyczy wszystkich. Uwzględnia sektory, w których działają firmy, oraz ich wielkość. Podmioty kluczowe (essential) działają w następujących sektorach:
- energia
- transport
- bankowość
- gospodarka ściekowa
- infrastruktura cyfrowa
- zarządzanie usługami ICT (B2B)
- infrastruktura rynków finansowych
- opieka zdrowotna
- woda pitna
- administracja publiczna
- sektor kosmiczny.
Będą one podlegać bardziej rygorystycznemu i ścisłemu nadzorowi.
Podmioty ważne (important) natomiast działają w ważnych sektorach:
- usługi pocztowe i kurierskie
- zarządzanie odpadami
- produkcja i dystrybucja chemikaliów
- produkcja, przetwarzanie i dystrybucja żywności
- produkcja:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- komputerów, wyrobów elektronicznych i optycznych
- sprzętu elektrycznego
- maszyn i urządzeń, gdzie indziej niesklasyfikowanych
- pojazdów silnikowych, przyczep i naczep
- pozostałego sprzętu transportowego.
Więcej informacji na temat kryteriów i wyjątkowych przypadków kwalifikujących firmy do tych kategorii można znaleźć w załącznikach 1 i 2 Dyrektywy, ponieważ lista ta nie zawsze jest oczywista. Na przykład w niektórych przypadkach termin „podmiot administracji publicznej” może obejmować niektóre uniwersytety.
Dla podmiotów publicznych i prywatnych w każdym z tych sektorów istnieją bardziej szczegółowe kryteria, które określają, czy podlegają one pod regulacje NIS2. Wielkość firmy również ma znaczenie: duże podmioty zatrudniające ponad 250 pracowników lub generujące roczne przychody powyżej 50 milionów euro najprawdopodobniej zostaną uznane za kluczowe, natomiast średnie firmy (50-249 pracowników lub przychody powyżej 10 milionów euro) za ważne. Wielkość podmiotu jest określana zgodnie z zaleceniem Komisji Europejskiej 2003/361/EC.
Jeśli działalność firmy obejmuje kilka sektorów, bardziej rygorystyczne obowiązki mają pierwszeństwo przed mniej rygorystycznymi. Ponadto nawet jeśli Twoja firma nie podlega bezpośrednio regulacjom NIS2, ale współpracuje z partnerami, którzy są zobowiązani do ich przestrzegania, możesz być pośrednio dotknięty, ponieważ monitorowanie łańcucha dostaw jest dla nich obowiązkowe. Dlatego przestrzeganie ogólnych zasad cyberbezpieczeństwa sprawi, że będziesz bardziej preferowanym i wiarygodnym kontrahentem.
Zasadniczo, NIS2 ma zastosowanie wyłącznie do dużych i średnich firm z wyżej wymienionych sektorów. Jedynymi wyjątkami, do których NIS2 ma zastosowanie bezwzględnie, są firmy zajmujące się komunikacją elektroniczną, dostawcy usług zaufania, dostawcy usług DNS, rejestratorzy domen najwyższego poziomu oraz dostawcy usług rejestracji domen.
Czy NIS2 ma zastosowanie do Twojej organizacji, możesz wstępnie sprawdzić tutaj.
Obowiązki wynikające z NIS2
- Zgłaszanie incydentów. Firmy powinny niezwłocznie poinformować odpowiednie władze, określone przez każdy kraj jako Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), o podejrzewanych zagrożeniach w ciągu 24 godzin, oraz dostarczyć oficjalne oświadczenie na temat incydentu w ciągu 72 godzin od jego wystąpienia. Po rozwiązaniu incydentu organizacja musi sporządzić końcowy raport w ciągu miesiąca.
- Polityki oceniające skuteczność środków zarządzania ryzykiem cyberbezpieczeństwa, odpowiedniego stosowania kryptografii i szyfrowania oraz kontroli dostępu.
- Plan Ciągłości Działania (BCP) zapewniający ciągłość działania w przypadku sytuacji awaryjnych, naruszeń danych i innych incydentów cybernetycznych. Może on obejmować tworzenie kopii zapasowych, odzyskiwanie danych po awarii, zarządzanie kryzysowe itp.
- Odpowiedzialny wybór partnerów, ponieważ łańcuchy dostaw i udostępnianie danych będą przedmiotem monitorowania.
- Uwierzytelnianie wieloskładnikowe lub uwierzytelnianie ciągłe, zabezpieczanie komunikacji we wszystkich kanałach firmy.
- Edukacja i świadomość — kierownictwo firmy jest zobowiązane do odbycia szkoleń z zakresu cyberbezpieczeństwa oraz regularnego szkolenia swoich pracowników.
- Dla kluczowych podmiotów obowiązkowe jest regularne przeprowadzanie oceny zgodności.
Dostawcy usług chmurowych mogą pomóc w spełnieniu tych wymagań w następujący sposób:
- Przede wszystkim chmury stanowią element łańcucha dostaw danych, więc współpraca z niezawodnym partnerem chmurowym gwarantuje spełnienie tego zobowiązania.
- Kopie zapasowe i DRaaS w chmurze to świetne rozwiązanie do zabezpieczenia danych, które jednocześnie spełnia wymogi Planu Ciągłości Działania.
- Szyfrowanie odgrywa kluczową rolę, a niektórzy dostawcy spełniają najnowsze wymagania w tym zakresie. Na przykład w GigaCloud oferujemy zarządzaną chronioną chmurę prywatną — rozwiązanie wykorzystujące zaawansowane szyfrowanie, SIEM oraz PAM.
- Dostawcy usług chmurowych przechodzą liczne certyfikacje oraz są poddawani regularnemu monitorowaniu pod kątem cyberbezpieczeństwa, aby mogli być uznawani za wiarygodnych kontrahentów. Firma GigaCloud przestrzega wymagań RODO, posiada certyfikaty ISO 27701 i ISO 27001, PCI DSS, CSA STAR.
- Infrastruktura chmurowa jest zazwyczaj bardziej niezawodna, ponieważ jest regularnie aktualizowana. GigaCloud korzysta z zaawansowanego sprzętu Lenovo oraz najnowszego oprogramowania VMware, skutecznie reagując na dynamicznie zmieniające się zagrożenia cybernetyczne.
- Wpływ na bezpieczeństwo ma również ogólna dostępność usług. Dostawcy usług chmurowych zazwyczaj oferują podpisanie SLA (umowy o gwarantowanym poziomie świadczenia usług), aby zapewnić, że infrastruktura klientów jest na bieżąco aktualizowana.
Co powinieneś zrobić w związku z NIS2?
Podobnie jak w przypadku większości dyrektyw UE, przepisy NIS2 powinny zostać włączone do prawa krajowego państw członkowskich w ciągu 2 lat. Oznacza to, że do 17 października 2024 r. kraje unijne mają czas na dostosowanie prawa krajowego do wymogów dyrektywy i uczynienie ich wiążącymi dla swoich podmiotów prawnych.
Od lata 2024 roku większość państw członkowskich ma przynajmniej projekt ustawy dotyczący wdrożenia systemu. Każde państwo będzie miało własne procedury oraz właściwe organy odpowiedzialne za kontrolę przestrzegania i stosowania przepisów NIS2. Na przykład na Węgrzech organizacje są zobowiązane do zawarcia umowy z audytorem ds. cyberbezpieczeństwa do końca 2024 r. i przeprowadzenia pierwszej oceny w ciągu roku. Natomiast Belgia już zaczęła wdrażać krajowe ramy CyberFundamentals Framework (CyFun®) zgodnie z dyrektywą.
W kolejnym kroku, do 17 kwietnia 2025 r., państwa członkowskie muszą utworzyć wykaz podmiotów objętych regulacjami, w którym firmy będą miały możliwość samodzielnej rejestracji. Rejestracja będzie wymagała podania co najmniej następujących informacji:
- nazwa, siedziba, numer w rejestrze
- sektor lub podsektor według NIS2, do którego należy firma
- dane kontaktowe
- państwa członkowskie, w których działa
- lista przydzielonych jej adresów IP
Później te wykazy powinny być regularnie aktualizowane, co najmniej co dwa lata.
Firmy powinny nie tylko formalnie przedstawić swoje opracowane polityki cyberbezpieczeństwa, ale także być przygotowane do dostarczenia rzeczywistych dowodów, takich jak wyniki audytów bezpieczeństwa przeprowadzonych przez kwalifikowanego audytora.
Czy to naprawdę działa?
Poprzednia polityka dotycząca bezpieczeństwa sieci i informacji obejmowała znacznie mniej firm, była mniej rygorystyczna i ogólnie pomijała wiele niuansów. Nowa wersja ma być znacznie skuteczniejsza.
Na poziomie UE powołano nowy organ odpowiedzialny za nadzorowanie wdrażania dyrektywy — Europejską Sieć Organizacji Łącznikowych do Spraw Kryzysów Cyberbezpieczeństwa (EU-CyCLONe). Będzie on przeglądał krajowe plany reagowania na ryzyko cybernetyczne, zbierał raporty od krajowych organów nadzoru oraz informował państwa członkowskie UE o poważnych kryzysach cybernetycznych.
Firmy, które nie będą przestrzegać zasad, mogą zostać ukarane administracyjnymi grzywnami do 10 milionów euro lub 2% całkowitego rocznego obrotu na świecie (dla kategorii kluczowych podmiotów) lub do 7 milionów euro (dla ważnych podmiotów). Regulacje te są więc dość rygorystyczne i zobowiązują firmy do zwracania uwagi nie tylko na własną infrastrukturę, ale także na swoich dostawców i usługodawców. Cały łańcuch dostaw powinien być systematycznie monitorowany, a wymiana danych musi być zabezpieczona szyfrowaniem.
Organy zarządzające firmą będą bezpośrednio odpowiedzialne za wdrażanie działań z zakresu cyberbezpieczeństwa, a ich zaniedbanie może prowadzić do czasowych zakazów (np. w obejmowaniu niektórych stanowisk) oraz kar finansowych.