W obliczu rosnącej liczby cyberataków na infrastrukturę krytyczną, Unia Europejska wprowadza dyrektywę NIS2, która znacząco zaostrza wymagania w zakresie cyberbezpieczeństwa dla organizacji działających w sektorach kluczowych – od energetyki, przez transport, aż po sektor zdrowia i finanse. Nowe przepisy mają na celu nie tylko ochronę przed zagrożeniami, ale również zwiększenie odpowiedzialności zarządów za bezpieczeństwo danych i stabilność operacyjną firm. Dlaczego więc dyrektywa NIS2 powinna zainteresować kierownictwo? Ponieważ brak dostosowania się do jej wymogów wiąże się z poważnymi konsekwencjami, zarówno finansowymi, jak i wizerunkowymi.

NIS2 to dyrektywa Unii Europejskiej mająca na celu wzmocnienie cyberbezpieczeństwa w państwach członkowskich. Jej celem jest stworzenie jednolitych regulacji i podniesienie poziomu ochrony infrastruktury krytycznej oraz usług kluczowych, takich jak energetyka, finanse, zdrowie czy transport. Dyrektywa ta zastępuje wcześniejszą NIS i wprowadza bardziej wymagające standardy, obejmując większą liczbę podmiotów.

Polska, w ramach Krajowego Systemu Cyberbezpieczeństwa (KSC), wdraża przepisy NIS2. Obie regulacje mają podobne cele, jednak KSC jest dopasowane do specyfiki polskiego rynku, z większym naciskiem na współpracę między lokalnymi instytucjami. Przewidywany termin pełnego wdrożenia ustawy o KSC to połowa 2025 roku.

Dyrektywa NIS2 wprowadza nowe obowiązki dla przedsiębiorstw działających w sektorach kluczowych lub ważnych i usługach cyfrowych, mające na celu wzmocnienie ich odporności na cyberzagrożenia. Poniżej przedstawiamy kluczowe wymagania:

• Wdrożenie odpowiednich środków bezpieczeństwa technicznego i organizacyjnego.
• Regularne oceny ryzyka oraz aktualizacja strategii cyberbezpieczeństwa.
• Obowiązek natychmiastowego raportowania incydentów do krajowego punktu kontaktowego.
• Współpraca z organami nadzorczymi w zakresie zarządzania incydentami i reagowania na zagrożenia.
• Zapewnienie odpowiednich zasobów i szkoleń dla pracowników zajmujących się cyberbezpieczeństwem.

Poniżej przedstawiamy uproszczony schemat, jak wygląda obieg informacji o incydencie cybernetycznym zgodnie z NIS2:

• Przestępca: Wykonuje atak na infrastrukturę cyfrową przedsiębiorstwa.
• Przedsiębiorstwo: Wykrywa incydent i ocenia jego powagę. Natychmiast raportuje go do regulatora.
• Regulator krajowy: Otrzymuje raport o incydencie, analizuje sytuację i monitoruje reakcję przedsiębiorstwa.
• Organy nadzorcze UE: Regulator dzieli się informacjami z odpowiednimi instytucjami w innych krajach UE, aby zminimalizować ryzyko powtórzenia incydentu w innych sektorach.

Próg wielkości różni się w zależności od sektora, ale generalnie 250 pracowników, roczny obrót 50 milionów euro lub bilans 43 milionów euro.

• Energetyka (w tym produkcja energii elektrycznej, ropy i gazu)
• Transport (w tym transport lotniczy, transport kolejowy, morski oraz drogowy)
• Bankowość i infrastruktura rynku finansowego (Infrastruktura rynku finansowego, np. usługi płatnicze)
• Administracja publiczna (wyznaczając sektor administracji publicznej jako sektor kluczowy, dyrektywa NIS2 uznaje znaczenie jego ochrony przed cyberzagrożeniami, odzwierciedlając jego krytyczne znaczenie)
• Opieka zdrowotna (w tym szpitale i prywatne kliniki)
• Woda pitna i ścieki (doprowadzanie i dystrybucja wody pitnej oraz odbiór ścieków)
• Przestrzeń kosmiczna (operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej)
• Infrastruktura cyfrowa ICT (np. dostawcy usług przetwarzania w chmurze czy firmy świadczące usługi teleinformatyczne, w tym rejestry DNS i TLD.)

Próg wielkości różni się w zależności od sektora, ale zazwyczaj jest to 50 pracowników, roczny obrót 10 milionów euro lub bilans 10 milionów euro.

• Usługi pocztowe i kurierskie (Dyrektywa NIS2 nakazuje organizacjom działającym w tej dziedzinie podjęcie niezbędnych działań w celu wzmocnienia ich stanowiska w zakresie cyberbezpieczeństwa, aby uczynić je silniejszymi i bardziej odporowymi)
• Gospodarowanie odpadami (Z uwagi na rozległe zaangażowanie w zbieranie, transport, przetwarzanie i unieszkodliwianie odpadów, sektor gospodarki odpadami staje się podatny na znaczne ryzyko cyberataków, które mogą zakłócić jego podstawowe operacje. Obecnie dyrektywa NIS2 obejmuje branżę gospodarki odpadami, nakładając na nią rygorystyczne wymogi w zakresie cyberbezpieczeństwa)
• Przemysł chemiczny (NIS2 dotyczy istotnego aspektu krajobrazu przemysłowego, który ma kluczowe znaczenie dla konkurencyjności Europy. Zwłaszcza dla przemysłu chemicznego obejmującego wytwarzanie, produkcję i dystrybucję chemikaliów. Sektor chemiczny odgrywa kluczową rolę w dostarczaniu innowacyjnych materiałów i technologicznych rozwiązań w tej dziedzinie)
• Badania naukowe (Sektor badawczy stanowi istotną siłę napędową innowacji i postępu, co czyni go cennym celem dla cyberprzestępców, którzy próbują zakłócić działanie systemów krytycznych lub wykraść poufne dane naukowe)
• Przemysł spożywczy (NIS2 klasyfikuje sektor spożywczy jako ważny podmiot. Obejmuje on wszystkie etapy, począwszy od rolnictwa, poprzez przetwarzanie żywności, pakowanie, transport, aż po sprzedaż detaliczną)
• Produkcja (Sektor ten obejmuje produkcję: urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych oraz naczep i innego sprzętu transportowego.)
• Usługi cyfrowe (Sektor dostawców usług cyfrowych to zróżnicowana i stale zmieniająca się branża, która obejmuje firmy oferujące produkty i usługi cyfrowe, w tym wyszukiwarki, rynki internetowe i sieci społecznościowe)

Podmiot może w dalszym ciągu zostać uznany za kluczowy lub ważny, nawet jeśli nie spełnia kryteriów wielkości. Ma to miejsce w szczególnych przypadkach, np. gdy jest jedynym dostawcą usługi krytycznej na potrzeby działalności społecznej lub gospodarczej w państwie członkowskim.

Jeśli Twoja firma dostarcza usługi kluczowe dla powyższych sektorów, takie jak:

• Chmura obliczeniowa
• Infrastruktura IT
• Telekomunikacja
• Outsourcing usług IT i cyfrowych

Wtedy również możesz podlegać wymogom NIS2, nawet jeśli nie jesteś bezpośrednio w branży kluczowej.

Wdrożenie wymaga kilku kluczowych kroków, w tym:

1. Regularnej oceny ryzyka.
2. Wdrażania odpowiednich zabezpieczeń technicznych.
3. Organizowania szkoleń dla pracowników.
4. Stworzenia procedur raportowania incydentów.
5. Współpracy z ekspertami ds. cyberbezpieczeństwa.

Kierownictwo firm odpowiada za zarządzanie ryzykiem cybernetycznym. Niespełnienie wymogów NIS2 może skutkować karami, takimi jak grzywny czy zakazy pełnienia funkcji kierowniczych.

Dyrektywa przewiduje surowe kary za nieprzestrzeganie przepisów. Podmioty kluczowe mogą być obciążone karami do 10 milionów euro lub 2% rocznego dochodu, natomiast podmioty ważne do 7 milionów euro lub 1,4% rocznego dochodu.

Dyrektywa NIS2 stawia przed organizacjami wyższe wymagania, ale i większą odpowiedzialność za zarządzanie cyberbezpieczeństwem. Wprowadzenie nowych standardów ochrony to nie tylko kwestia zgodności z prawem, ale także strategiczna inwestycja w stabilność i reputację firmy. Wysokie kary oraz ryzyko utraty zaufania klientów sprawiają, że dostosowanie się do NIS2 staje się priorytetem, którego nie warto odkładać na później. Teneg Sp. z o.o., specjalizująca się w doradztwie technologicznym i usługach w zakresie zarządzania, może znacząco wspomóc podmioty krytyczne i ważne w implementacji dyrektywy NIS2. Dzięki szerokiemu doświadczeniu w zakresie cyberbezpieczeństwa firma może:

• Pomóc w opracowaniu strategii zarządzania ryzykiem zgodnej z wymaganiami NIS2.
• Zapewnić wsparcie w zakresie oceny ryzyka i wdrożenia odpowiednich środków ochrony infrastruktury.
• Oferować kompleksowe szkolenia dla pracowników w obszarze cyberbezpieczeństwa.
• Wspierać w opracowaniu i wdrożeniu procedur raportowania incydentów.
• Ułatwiać współpracę z organami nadzorczymi i regulatorami.

Przeprowadzimy Państwa przez cały proces organizacji – od przygotowań po techniczne wdrożenie – aby zapewnić pełną zgodność z wymogami Dyrektywy NIS2.