Dyrektywa NIS2 ma zostać włączona do polskiego systemu prawnego do 17 października 2024 roku. Wymaga ona wdrożenia spójnego systemu zarządzania cyberbezpieczeństwem w przedsiębiorstwach działających w branżach istotnych dla gospodarki, a ich ilość będzie większa niż aktualnie ustanawia Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Brak zgodności z Dyrektywą NIS2 skutkował będzie ryzykiem wysokich kar finansowych – dochodzących nawet do 2% całkowitych obrotów firmy. Dyrektywa wprowadza również odpowiedzialność osobistą dla członków zarządów w przypadku rażących zaniedbań.

Czym jest dyrektywa NIS2 (Network and Information Systems Directive 2) i jakie niesie ze sobą konsekwencje?

Dyrektywa NIS2, będąca nowelizacją pierwotnej dyrektywy NIS z 2016 roku, jest odpowiedzią Unii Europejskiej na narastające i coraz bardziej zaawansowane zagrożenia cybernetyczne. W obliczu dynamicznego wzrostu liczby cyberataków oraz towarzyszących im wyzwań, aktualizacja przepisów stała się niezbędna. Mimo znaczącej poprawy poziomu cyberbezpieczeństwa w UE po wdrożeniu regulacji NIS, konieczność wprowadzenia nowych rozwiązań była wyraźnie odczuwalna. Transformacja cyfrowa społeczeństwa, przyspieszona przez pandemię Covid-19, dodatkowo uwydatniła potrzebę nowoczesnych i skutecznych narzędzi ochrony. Zauważono również, że organy odpowiedzialne za cyberbezpieczeństwo wykazywały zbyt małą rygorystyczność w reagowaniu na incydenty oraz usuwaniu ich skutków. Dyrektywa NIS2 ma na celu podniesienie standardów oraz wzmocnienie systemów ochrony, aby sprostać współczesnym wyzwaniom cyfrowym.

W wyniku nowelizacji dyrektywy NIS2 lista sektorów, branż i obszarów działalności gospodarczej objętych regulacjami bezpieczeństwa cyfrowego została rozszerzona o dziewięć nowych pozycji. Nowe przepisy obejmują zarówno podmioty publiczne, jak i prywatne działające na terenie UE, które spełniają kryteria średnich przedsiębiorstw. Zgodnie z nową klasyfikacją, podmioty objęte regulacjami dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności w wyniku cyberataków może mieć poważne konsekwencje społeczno-gospodarcze, w tym administracja publiczna. Szczegółowe listy sektorów uznanych za kluczowe i ważne zawarte są w załącznikach I i II do dyrektywy.

Aktualności:
Od 24 kwietnia 2024 r. dostępny jest już projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.Opens in a new window

Sektory objęte zakresem Dyrektywy NIS 2

Wyzwania dla firm związane z implementacją dyrektywy NIS2

Zarządzanie

Odpowiednio skoordynowane i dostosowane regulacje są kluczem do wzmacniania odporności organizacji na cyberataki, ale ich harmonizacja i wdrożenie stanowią wyzwanie dla organów nimi zarządzających.

Organy zarządzające podmiotów kluczowych i ważnych są zobowiązane do zatwierdzania i nadzorowania środków zarządzania ryzykiem związanym z cyberatakami, zgodnie z wymogami określonymi w art. 21. Zarządy muszą monitorować cały proces i mogą być pociągnięte do odpowiedzialności za naruszenie przepisów. Dodatkowo, nałożono obowiązek regularnych szkoleń z zakresu cyberbezpieczeństwa zarówno dla kadry zarządzającej, jak i pracowników organizacji.

Środki zarządzania ryzykiem w cyberbezpieczeństwie

Zapewnienie wiarygodnego wglądu w środowisko OT i IT, pozwala zidentyfikować potencjalne luki i zagrożenia.

Kluczowe i ważne organizacje w UE zobowiązane są do wdrażania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem cyberataków. Te działania mają na celu podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych. Proporcjonalność tych środków oznacza dostosowanie narzędzi i działań do skali ryzyka, wielkości organizacji oraz potencjalnej dotkliwości skutków incydentów.

Obowiązki w zakresie zgłaszania incydentów

Efektywny monitoring i zgłaszanie incydentów do własciwych organów.

Zgodnie z dyrektywą NIS2, incydenty mające znaczący wpływ na świadczenie usług przez podmioty kluczowe i ważne, a także tzw. incydenty poważne, muszą być zgłaszane bez zbędnej zwłoki do właściwego CERT lub innego odpowiedniego organu. Poważne zagrożenia cyberbezpieczeństwa wiążą się również z obowiązkiem informowania odbiorców usług o zaistniałych problemach. Incydenty są uznawane za poważne, gdy powodują lub mogą powodować istotne zakłócenia w świadczeniu usług, straty finansowe, bądź znaczne szkody materialne i niematerialne dla podmiotów trzecich.

Stosowanie europejskich programów certyfikacji cyberbezpieczeństwa

Przyjęcie nowych przepisów dotyczących cyberbezpieczeństwa powinno być widoczne w agendzie organizacji zarówno pod kątem strategii, jak i budżetu.

Odpowiednie organy w Unii Europejskiej mogą wymagać od kluczowych i ważnych podmiotów stosowania certyfikowanych produktów, usług i procesów ICT, zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art. 49 rozporządzenia (UE) 2019/881. Ponadto, państwa członkowskie mają obowiązek zachęcać kluczowe i ważne podmioty do korzystania z kwalifikowanych usług zaufania.

Korzyści związane z adaptacją zaleceń Dyrektywy NIS2

Zgodność z obowiązującymi regulacjami dotyczącymi cyberbezpieczeństwa i dochowanie należytej staranności przy wdrożeniu zabezpieczeń.
Zmniejszenie ryzyka operacyjnego poprzez wdrożenie dostosowanych do wymagań biznesowych.
Skuteczna ochrona na poziomie organizacji, procesów oraz rozwiązań technicznych.
Oszczędność dzięki zoptymalizowanym kosztowo zabezpieczeniom, nakierowanym na ochronę krytycznych zasobów organizacji.
Wysoka jakość wdrażanych zabezpieczeń.
Podniesienie kompetencji pracowników w zakresie cyberbezpieczeństwa.

Wsparcie KPMG w zapewnieniu zgodności z Dyrektywą NIS2

Analiza
- Analiza wpływu – weryfikacja w jakim zakresie wymogi Dyrektywy NIS2 dotyczą przedsiębiorstwa
- Identyfikacja luk – ocena w jakim stopniu obecne rozwiązania w zakresie cyberbezpieczeństwa spełniają wymogi Dyrektywy NIS2, a następnie opracowanie roadmapy prowadzącej do pełnej zgodności
- Analiza ryzyka – identyfikacja zabezpieczeń adekwatnych do zagrożeń
- Testy penetracyjne – praktyczna ocena podatności pracowników, procesów, infrastruktury i aplikacji na cyberataki

Doradztwo
- Reorganizacja bezpieczeństwa – dostosowanie struktur zarządzania do strategii cyberbezpieczeństwa i nowych regulacji
- Wdrażanie i optymalizacja systemów zarządzania cyberbezpieczeństwem oraz ciągłością działania
- Budowanie świadomości pracowników w zakresie cyberzagrożeń

Wdrożenia
- Kompleksowe wdrożenie wymaganych zabezpieczeń, w partnerstwie z wiodącymi dostawcami systemów bezpieczeństwa
- Niezależna weryfikacja jakości prowadzonego wdrożenia
- Wsparcie w rozwoju i utrzymaniu wdrożonych systemów