NIS2 — ogólny przegląd dyrektywy UE w sprawie cyberbezpieczeństwa

07 sie 24 8 minut czytania

Firmy coraz częściej zwracają uwagę na NIS2, ponieważ szacuje się, że od października 2024 roku około 100 tysięcy organizacji w całej UE zostanie objętych tymi regulacjami. Co nas czeka i jak się przygotować — omówiliśmy wszystkie pytania na naszym blogu.

Czym jest NIS2 i kogo dotyczy

NIS2 to powszechna nazwa dyrektywy UE 2022/2555. NIS to skrót od Network and Information Security (Sieć i Bezpieczeństwo Informacji). Dyrektywa obejmuje określone typy firm, które w większości stanowią infrastrukturę i systemy krytyczne (szczegóły poniżej). Numer 2 oznacza, że jest to ulepszona wersja pierwszej dyrektywy NIS wprowadzonej w 2016 roku.

Dyrektywa nie dotyczy wszystkich. Uwzględnia sektory, w których działają firmy, oraz ich wielkość. Podmioty kluczowe (essential) działają w następujących sektorach:

energia
transport
bankowość
gospodarka ściekowa
infrastruktura cyfrowa
zarządzanie usługami ICT (B2B)
infrastruktura rynków finansowych
opieka zdrowotna
woda pitna
administracja publiczna
sektor kosmiczny.

Będą one podlegać bardziej rygorystycznemu i ścisłemu nadzorowi.

Podmioty ważne (important) natomiast działają w ważnych sektorach:

usługi pocztowe i kurierskie
zarządzanie odpadami
produkcja i dystrybucja chemikaliów
produkcja, przetwarzanie i dystrybucja żywności
produkcja:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- komputerów, wyrobów elektronicznych i optycznych
- sprzętu elektrycznego
- maszyn i urządzeń, gdzie indziej niesklasyfikowanych
- pojazdów silnikowych, przyczep i naczep
- pozostałego sprzętu transportowego.

Więcej informacji na temat kryteriów i wyjątkowych przypadków kwalifikujących firmy do tych kategorii można znaleźć w załącznikach 1 i 2 Dyrektywy, ponieważ lista ta nie zawsze jest oczywista. Na przykład w niektórych przypadkach termin „podmiot administracji publicznej” może obejmować niektóre uniwersytety.

Dla podmiotów publicznych i prywatnych w każdym z tych sektorów istnieją bardziej szczegółowe kryteria, które określają, czy podlegają one pod regulacje NIS2. Wielkość firmy również ma znaczenie: duże podmioty zatrudniające ponad 250 pracowników lub generujące roczne przychody powyżej 50 milionów euro najprawdopodobniej zostaną uznane za kluczowe, natomiast średnie firmy (50-249 pracowników lub przychody powyżej 10 milionów euro) za ważne. Wielkość podmiotu jest określana zgodnie z zaleceniem Komisji Europejskiej 2003/361/EC.

Jeśli działalność firmy obejmuje kilka sektorów, bardziej rygorystyczne obowiązki mają pierwszeństwo przed mniej rygorystycznymi. Ponadto nawet jeśli Twoja firma nie podlega bezpośrednio regulacjom NIS2, ale współpracuje z partnerami, którzy są zobowiązani do ich przestrzegania, możesz być pośrednio dotknięty, ponieważ monitorowanie łańcucha dostaw jest dla nich obowiązkowe. Dlatego przestrzeganie ogólnych zasad cyberbezpieczeństwa sprawi, że będziesz bardziej preferowanym i wiarygodnym kontrahentem.

Zasadniczo, NIS2 ma zastosowanie wyłącznie do dużych i średnich firm z wyżej wymienionych sektorów. Jedynymi wyjątkami, do których NIS2 ma zastosowanie bezwzględnie, są firmy zajmujące się komunikacją elektroniczną, dostawcy usług zaufania, dostawcy usług DNS, rejestratorzy domen najwyższego poziomu oraz dostawcy usług rejestracji domen.

Czy NIS2 ma zastosowanie do Twojej organizacji, możesz wstępnie sprawdzić tutaj.

Obowiązki wynikające z NIS2

Zgłaszanie incydentów. Firmy powinny niezwłocznie poinformować odpowiednie władze, określone przez każdy kraj jako Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), o podejrzewanych zagrożeniach w ciągu 24 godzin, oraz dostarczyć oficjalne oświadczenie na temat incydentu w ciągu 72 godzin od jego wystąpienia. Po rozwiązaniu incydentu organizacja musi sporządzić końcowy raport w ciągu miesiąca.
Polityki oceniające skuteczność środków zarządzania ryzykiem cyberbezpieczeństwa, odpowiedniego stosowania kryptografii i szyfrowania oraz kontroli dostępu.
Plan Ciągłości Działania (BCP) zapewniający ciągłość działania w przypadku sytuacji awaryjnych, naruszeń danych i innych incydentów cybernetycznych. Może on obejmować tworzenie kopii zapasowych, odzyskiwanie danych po awarii, zarządzanie kryzysowe itp.
Odpowiedzialny wybór partnerów, ponieważ łańcuchy dostaw i udostępnianie danych będą przedmiotem monitorowania.
Uwierzytelnianie wieloskładnikowe lub uwierzytelnianie ciągłe, zabezpieczanie komunikacji we wszystkich kanałach firmy.
Edukacja i świadomość — kierownictwo firmy jest zobowiązane do odbycia szkoleń z zakresu cyberbezpieczeństwa oraz regularnego szkolenia swoich pracowników.
Dla kluczowych podmiotów obowiązkowe jest regularne przeprowadzanie oceny zgodności.

Dostawcy usług chmurowych mogą pomóc w spełnieniu tych wymagań w następujący sposób:

Przede wszystkim chmury stanowią element łańcucha dostaw danych, więc współpraca z niezawodnym partnerem chmurowym gwarantuje spełnienie tego zobowiązania.
Kopie zapasowe i DRaaS w chmurze to świetne rozwiązanie do zabezpieczenia danych, które jednocześnie spełnia wymogi Planu Ciągłości Działania.
Szyfrowanie odgrywa kluczową rolę, a niektórzy dostawcy spełniają najnowsze wymagania w tym zakresie. Na przykład w GigaCloud oferujemy zarządzaną chronioną chmurę prywatną — rozwiązanie wykorzystujące zaawansowane szyfrowanie, SIEM oraz PAM.
Dostawcy usług chmurowych przechodzą liczne certyfikacje oraz są poddawani regularnemu monitorowaniu pod kątem cyberbezpieczeństwa, aby mogli być uznawani za wiarygodnych kontrahentów. Firma GigaCloud przestrzega wymagań RODO, posiada certyfikaty ISO 27701 i ISO 27001, PCI DSS, CSA STAR.
Infrastruktura chmurowa jest zazwyczaj bardziej niezawodna, ponieważ jest regularnie aktualizowana. GigaCloud korzysta z zaawansowanego sprzętu Lenovo oraz najnowszego oprogramowania VMware, skutecznie reagując na dynamicznie zmieniające się zagrożenia cybernetyczne.
Wpływ na bezpieczeństwo ma również ogólna dostępność usług. Dostawcy usług chmurowych zazwyczaj oferują podpisanie SLA (umowy o gwarantowanym poziomie świadczenia usług), aby zapewnić, że infrastruktura klientów jest na bieżąco aktualizowana.

Co powinieneś zrobić w związku z NIS2?

Podobnie jak w przypadku większości dyrektyw UE, przepisy NIS2 powinny zostać włączone do prawa krajowego państw członkowskich w ciągu 2 lat. Oznacza to, że do 17 października 2024 r. kraje unijne mają czas na dostosowanie prawa krajowego do wymogów dyrektywy i uczynienie ich wiążącymi dla swoich podmiotów prawnych.

Od lata 2024 roku większość państw członkowskich ma przynajmniej projekt ustawy dotyczący wdrożenia systemu. Każde państwo będzie miało własne procedury oraz właściwe organy odpowiedzialne za kontrolę przestrzegania i stosowania przepisów NIS2. Na przykład na Węgrzech organizacje są zobowiązane do zawarcia umowy z audytorem ds. cyberbezpieczeństwa do końca 2024 r. i przeprowadzenia pierwszej oceny w ciągu roku. Natomiast Belgia już zaczęła wdrażać krajowe ramy CyberFundamentals Framework (CyFun®) zgodnie z dyrektywą.

W kolejnym kroku, do 17 kwietnia 2025 r., państwa członkowskie muszą utworzyć wykaz podmiotów objętych regulacjami, w którym firmy będą miały możliwość samodzielnej rejestracji. Rejestracja będzie wymagała podania co najmniej następujących informacji:

nazwa, siedziba, numer w rejestrze
sektor lub podsektor według NIS2, do którego należy firma
dane kontaktowe
państwa członkowskie, w których działa
lista przydzielonych jej adresów IP

Później te wykazy powinny być regularnie aktualizowane, co najmniej co dwa lata.

Firmy powinny nie tylko formalnie przedstawić swoje opracowane polityki cyberbezpieczeństwa, ale także być przygotowane do dostarczenia rzeczywistych dowodów, takich jak wyniki audytów bezpieczeństwa przeprowadzonych przez kwalifikowanego audytora.

Czy to naprawdę działa?

Poprzednia polityka dotycząca bezpieczeństwa sieci i informacji obejmowała znacznie mniej firm, była mniej rygorystyczna i ogólnie pomijała wiele niuansów. Nowa wersja ma być znacznie skuteczniejsza.

Na poziomie UE powołano nowy organ odpowiedzialny za nadzorowanie wdrażania dyrektywy — Europejską Sieć Organizacji Łącznikowych do Spraw Kryzysów Cyberbezpieczeństwa (EU-CyCLONe). Będzie on przeglądał krajowe plany reagowania na ryzyko cybernetyczne, zbierał raporty od krajowych organów nadzoru oraz informował państwa członkowskie UE o poważnych kryzysach cybernetycznych.

Firmy, które nie będą przestrzegać zasad, mogą zostać ukarane administracyjnymi grzywnami do 10 milionów euro lub 2% całkowitego rocznego obrotu na świecie (dla kategorii kluczowych podmiotów) lub do 7 milionów euro (dla ważnych podmiotów). Regulacje te są więc dość rygorystyczne i zobowiązują firmy do zwracania uwagi nie tylko na własną infrastrukturę, ale także na swoich dostawców i usługodawców. Cały łańcuch dostaw powinien być systematycznie monitorowany, a wymiana danych musi być zabezpieczona szyfrowaniem.

Organy zarządzające firmą będą bezpośrednio odpowiedzialne za wdrażanie działań z zakresu cyberbezpieczeństwa, a ich zaniedbanie może prowadzić do czasowych zakazów (np. w obejmowaniu niektórych stanowisk) oraz kar finansowych.

Trending articles

Jak zwiększyć cyberbezpieczeństwo

26 gru 23 5 minut czytania

Hakerzy atakują firmy komercyjne, organizacje rządowe i osoby prywatne. Ich celem jest uzyskanie dostępu do systemów IT i zakłócenie ich działania, zmiana, kradzież lub zniszczenie danych.

Jak GigaCloud rewolucjonizuje prywatne chmury i dlaczego ma to znaczenie

20 maj 22 4 minut czytania

Po zbudowaniu chmury prywatnej i skonfigurowaniu jej pod potrzeby klienta praca operatora chmury się nie kończy. Helpdesk i dział operacyjny monitorują zdarzenia i wskaźniki w chmurze. Specjaliści dokonują niezbędnych zmian, pomagają klientom wdrażać infrastruktury wirtualne oraz, co bardzo ważne, aktualizować chmurę.

Jak chmura pomaga uzyskać certyfikat PCI DSS

01 cze 21 6 minut czytania

W 2018 roku British Airways, największa brytyjska linia lotnicza, doświadczyła wycieku danych klientów na dużą skalę. Hakerzy ukradli dane kart płatniczych około 380 000 osób.

Jak poprawnie tworzyć, używać i przechowywać hasła

24 paź 19 5 minut czytania

W 1964 roku firma IBM stworzyła komputer wieloużytkownikowy, mainframe – komputer przeznaczony do jednoczesnej pracy kilku użytkowników. Komputer mainframe działał w trybie współdzielenia czasu, a żeby użytkownicy mogli z niego korzystać jednocześnie, dla każdego z nich utworzono osobne konta. Do zalogowania się na konto wymagane było podanie hasła.

Konteneryzacja i jej zalety

27 lut 24 5 minut czytania

Konteneryzacja to stosunkowo nowe pojęcie programistyczne. Wraz z pojawieniem się różnych środowisk wdrożeniowych, zwłaszcza tych związanych z chmurą obliczeniową, zyskała ona ogromną popularność.

Przetwarzanie brzegowe i jego możliwości

06 lut 24 4 minut czytania

Niektórzy analitycy prognozują, że za kilkanaście lat przetwarzanie brzegowe zastąpi chmurę, podobnie jak obecnie chmura wypiera tradycyjne centra danych. Jednak nie jest to takie proste, ponieważ chmura i przetwarzanie brzegowe współpracują ze sobą.

7 trendów w technologii chmurowej

22 sty 24 7 minut czytania

Chmura obliczeniowa stoi u progu wielkiej transformacji, a wydatki firm na usługi chmurowe mają po raz pierwszy przekroczyć bilion dolarów.

Migracja do chmury: sposoby, korzyści i udane przeprowadzenie

20 maj 24 6 minut czytania

Każdego roku coraz więcej firm przenosi się do chmury. Powody są oczywiste: chmura umożliwia przechowywanie dużych ilości danych bez potrzeby inwestowania w kosztowną infrastrukturę, a jednocześnie zapewnia dostęp do tych danych z dowolnego miejsca na świecie i gwarantuje ich bezpieczeństwo.

Centra danych — gdzie GigaCloud przechowuje dane

19 sty 24 2 minut czytania

Chmura jest pojęciem częściowo wirtualnym i aby mogła funkcjonować, potrzebne są serwery fizyczne, na których zostaną uruchomione zasoby chmury. Te serwery i inny sprzęt są przechowywane w centrach danych, specjalnych budynkach spełniających wymagania związane z utrzymaniem infrastruktury. Ich główną funkcją jest przechowywanie i przetwarzanie kluczowych danych biznesowych.

Technologie chmurowe: Czym są i jakie korzyści przynoszą biznesowi i ludziom

13 kwi 23 5 minut czytania

Chmura całkowicie zmieniła zasady przechowywania i przesyłania informacji. Technologie chmurowe pozwoliły przezwyciężyć ograniczenia przestrzeni fizycznej i otworzyły nowy wymiar internetu.

Czym jest FinOps i jak pomaga obniżyć koszty chmury?

06 cze 23 6 minut czytania

Według firmy Gartner całkowite wydatki na usługi chmury publicznej w 2024 roku wzrosną o 20,4%, osiągając łącznie 675,4 miliarda dolarów. Kwota ta jest ogromna, ale co jeśli przyczyną takiego wzrostu jest nieracjonalne wykorzystanie zasobów? Łatwo to zweryfikować dzięki nowemu trendowi w zarządzaniu usługami chmurowymi, jakim jest FinOps.

Czym są usługi chmurowe i jak wspierają biznes

09 sie 24 7 minut czytania

Usługi chmurowe znacząco wpłynęły na codzienne życie ludzi. Posiadanie dysków twardych i innych urządzeń do przechowywania danych to już przeszłość.