Unia Europejska wprowadza nowe regulacje dotyczące cyberbezpieczeństwa. Celem dyrektywy NIS 2 jest zwiększenie odporności i zdolności reagowania podmiotów z sektora publicznego i prywatnego, a także UE jako całości na cyfrowe zagrożenia dla gospodarki.
Dynamiczny rozwój technologii i cyfryzacja niosą za sobą szanse, ale i zagrożenia. Potencjalne awarie systemów informatycznych wspomagających współczesną gospodarkę np. usługi finansowe czy opiekę zdrowotną mogą powodować wielkie straty finansowe, a nawet prowadzić do zagrożenia zdrowia i życia. Coraz większa częstotliwość takich zjawisk wymusiła wprowadzenie nowych, skuteczniejszych regulacji prawnych. Dyrektywa NIS 2 z 15 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii zastąpi obecną dyrektywę NIS o bezpieczeństwie sieci i systemów informatycznych.
NIS 2 definiuje dwa rodzaje podmiotów objętych nowymi regulacjami – podmioty kluczowe i ważne. Działają one w następujących sektorach gospodarki:
- publiczni dostawcy sieci łączności i świadczący usługi łączności elektronicznej,
- podmioty administracji publicznej,
- usług cyfrowych świadczonych przez platformy sieci społecznościowych,
- centra danych,
- przestrzeń kosmiczna,
- energetyka,
- transport,
- bankowość,
- infrastruktura rynków finansowych,
- opieka zdrowotna,
- dostarczanie wody pitnej,
- ścieki,
- infrastruktura cyfrowa,
- zarządzanie usługami ICT (między przedsiębiorstwami), np.: dostawcy usług zarządzanych,
- producenci produktów uznanych za krytyczne, np. leków, urządzeń medycznych, urządzeń elektrycznych,
- usługi pocztowe i kurierskie,
- gospodarka odpadami,
- produkcja i dystrybucja żywności,
- dostawcy usług cyfrowych, np. internetowych platform handlowych.
Do grupy kluczowych zaliczają się podmioty działające w powyższych obszarach, w których zatrudnienie przekracza 250 pracowników, a roczny obrót wynosi powyżej 10 mln euro. Pozostałe podmioty, niespełniające kryterium wielkości, kwalifikowane są jako podmioty ważne.
– Dyrektywa NIS 2 nakłada na podmioty kluczowe i ważne obowiązek wprowadzenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowanie takiego wpływu. Środki te mają być określane w oparciu o podejście uwzględniające wszystkie zagrożenia. W ramach działań należy uwzględnić m.in. prowadzenie analizy ryzyka, bieżącą obsługę incydentów, opracowanie planu ciągłości działania, stworzenie polityk i procedur w zakresie przeprowadzania audytów zabezpieczeń, a także korzystanie z kryptografii i szyfrowania – wyjaśnia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa DEKRA.
Państwa członkowskie UE zobowiązane są ustanowić szczegółowy wykaz podmiotów kluczowych i ważnych do 27 kwietnia 2025 roku.
W trosce o standardy cyberbezpieczeństwa
Artykuł 25 dyrektywy NIS 2 zachęca także podmioty działające na rynku do stosowania europejskich i międzynarodowych norm istotnych z punktu widzenia cyberbezpieczeństwa m.in. normy ISO/IEC 27000, a w szczególności ISO/IEC 27001:2022.
– Dotyczą one m.in. budowania systemów bezpieczeństwa informacji uwzględniających specyfikę działalności i charakterystykę potencjalnych zagrożeń. Systemy te powinny być certyfikowane pod kątem zgodności z międzynarodowymi standardami. Wśród środków nadzoru i egzekwowania stosowania przepisów przez podmioty kluczowe wskazano dodatkowo uprawnienie podmiotów nadzorujących do wnioskowania o przedstawienie audytu z realizacji praktyk cyberbezpieczeństwa, przeprowadzonego przez wykwalifikowanego audytora – dodaje ekspert DEKRA.
Właściwe organy państw członkowskich mają możliwość nałożenia na podmioty kluczowe i ważne administracyjnych kar pieniężnych w razie naruszenia przepisów. Ich wysokość powinna być proporcjonalna do skali wykroczenia, ale nie większa niż 2% rocznego obrotu lub 10 mln euro.
Nowe przepisy wynikające z dyrektywy NIS 2 zaczną obowiązywać w UE od 18 października 2024 roku.
DEKRA
***
DEKRA jest globalnym liderem na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Z jasną, ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata DEKRA łączy najlepszych ludzi, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes na lepsze. Działająca od niemal 100 lat na świecie – i od ponad 20 lat w Polsce – DEKRA stawia obecnie na dynamiczny rozwój usług z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz na usługi wspierające zrównoważony rozwój organizacji i elektromobilność.
Świadomi zagrożeń i wyzwań współczesnego świata klienci DEKRA korzystają z rozwiązań, które dają im rzetelną wiedzę i praktyczne narzędzia, takie jak m.in. certyfikacja ISO 27001 i ISO 22301, czy specjalistyczne audyty (np. audyt bezpieczeństwa systemu informacyjnego dla operatorów usług kluczowych). Dzięki połączeniu wiedzy i doświadczenia ekspertów lokalnych i międzynarodowych mają oni dostęp do wszystkich potrzebnych informacji i usług z jednego, obszernego i elastycznego źródła.
