• 1000

Dyrektywa NIS2 ma zostać włączona do polskiego systemu prawnego do 17 października 2024 roku. Wymaga ona wdrożenia spójnego systemu zarządzania cyberbezpieczeństwem w przedsiębiorstwach działających w branżach istotnych dla gospodarki, a ich ilość będzie większa niż aktualnie ustanawia Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Brak zgodności z Dyrektywą NIS2 skutkował będzie ryzykiem wysokich kar finansowych – dochodzących nawet do 2% całkowitych obrotów firmy. Dyrektywa wprowadza również odpowiedzialność osobistą dla członków zarządów w przypadku rażących zaniedbań.

Wyślij zapytanie ofertowe

Czym jest dyrektywa NIS2 (Network and Information Systems Directive 2) i jakie niesie ze sobą konsekwencje?

Dyrektywa NIS2, będąca nowelizacją pierwotnej dyrektywy NIS z 2016 roku, jest odpowiedzią Unii Europejskiej na narastające i coraz bardziej zaawansowane zagrożenia cybernetyczne. W obliczu dynamicznego wzrostu liczby cyberataków oraz towarzyszących im wyzwań, aktualizacja przepisów stała się niezbędna. Mimo znaczącej poprawy poziomu cyberbezpieczeństwa w UE po wdrożeniu regulacji NIS, konieczność wprowadzenia nowych rozwiązań była wyraźnie odczuwalna. Transformacja cyfrowa społeczeństwa, przyspieszona przez pandemię Covid-19, dodatkowo uwydatniła potrzebę nowoczesnych i skutecznych narzędzi ochrony. Zauważono również, że organy odpowiedzialne za cyberbezpieczeństwo wykazywały zbyt małą rygorystyczność w reagowaniu na incydenty oraz usuwaniu ich skutków. Dyrektywa NIS2 ma na celu podniesienie standardów oraz wzmocnienie systemów ochrony, aby sprostać współczesnym wyzwaniom cyfrowym.

W wyniku nowelizacji dyrektywy NIS2 lista sektorów, branż i obszarów działalności gospodarczej objętych regulacjami bezpieczeństwa cyfrowego została rozszerzona o dziewięć nowych pozycji. Nowe przepisy obejmują zarówno podmioty publiczne, jak i prywatne działające na terenie UE, które spełniają kryteria średnich przedsiębiorstw. Zgodnie z nową klasyfikacją, podmioty objęte regulacjami dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności w wyniku cyberataków może mieć poważne konsekwencje społeczno-gospodarcze, w tym administracja publiczna. Szczegółowe listy sektorów uznanych za kluczowe i ważne zawarte są w załącznikach I i II do dyrektywy.

Aktualności:
Od 24 kwietnia 2024 r. dostępny jest już projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Opens in a new window

Sektory objęte zakresem Dyrektywy NIS 2


Sektory kluczowe ze względu na Dyrektywę NIS2

Sektory ważne ze względu na Dyrektywę NIS2

Wyzwania dla firm związane z implementacją dyrektywy NIS2

Zarządzanie

Odpowiednio skoordynowane i dostosowane regulacje są kluczem do wzmacniania odporności organizacji na cyberataki, ale ich harmonizacja i wdrożenie stanowią wyzwanie dla organów nimi zarządzających.

Organy zarządzające podmiotów kluczowych i ważnych są zobowiązane do zatwierdzania i nadzorowania środków zarządzania ryzykiem związanym z cyberatakami, zgodnie z wymogami określonymi w art. 21. Zarządy muszą monitorować cały proces i mogą być pociągnięte do odpowiedzialności za naruszenie przepisów. Dodatkowo, nałożono obowiązek regularnych szkoleń z zakresu cyberbezpieczeństwa zarówno dla kadry zarządzającej, jak i pracowników organizacji.

Środki zarządzania ryzykiem w cyberbezpieczeństwie

Zapewnienie wiarygodnego wglądu w środowisko OT i IT, pozwala zidentyfikować potencjalne luki i zagrożenia.

Kluczowe i ważne organizacje w UE zobowiązane są do wdrażania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem cyberataków. Te działania mają na celu podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych. Proporcjonalność tych środków oznacza dostosowanie narzędzi i działań do skali ryzyka, wielkości organizacji oraz potencjalnej dotkliwości skutków incydentów.

Obowiązki w zakresie zgłaszania incydentów

Efektywny monitoring i zgłaszanie incydentów do własciwych organów.

Zgodnie z dyrektywą NIS2, incydenty mające znaczący wpływ na świadczenie usług przez podmioty kluczowe i ważne, a także tzw. incydenty poważne, muszą być zgłaszane bez zbędnej zwłoki do właściwego CERT lub innego odpowiedniego organu. Poważne zagrożenia cyberbezpieczeństwa wiążą się również z obowiązkiem informowania odbiorców usług o zaistniałych problemach. Incydenty są uznawane za poważne, gdy powodują lub mogą powodować istotne zakłócenia w świadczeniu usług, straty finansowe, bądź znaczne szkody materialne i niematerialne dla podmiotów trzecich.

Stosowanie europejskich programów certyfikacji cyberbezpieczeństwa

Przyjęcie nowych przepisów dotyczących cyberbezpieczeństwa powinno być widoczne w agendzie organizacji zarówno pod kątem strategii, jak i budżetu.

Odpowiednie organy w Unii Europejskiej mogą wymagać od kluczowych i ważnych podmiotów stosowania certyfikowanych produktów, usług i procesów ICT, zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art. 49 rozporządzenia (UE) 2019/881. Ponadto, państwa członkowskie mają obowiązek zachęcać kluczowe i ważne podmioty do korzystania z kwalifikowanych usług zaufania.

Korzyści związane z adaptacją zaleceń Dyrektywy NIS2


1 Zgodność z obowiązującymi regulacjami dotyczącymi cyberbezpieczeństwa i dochowanie należytej staranności przy wdrożeniu zabezpieczeń.

2 Zmniejszenie ryzyka operacyjnego poprzez wdrożenie dostosowanych do wymagań biznesowych.

3 Skuteczna ochrona na poziomie organizacji, procesów oraz rozwiązań technicznych.

4 Oszczędność dzięki zoptymalizowanym kosztowo zabezpieczeniom, nakierowanym na ochronę krytycznych zasobów organizacji.

5 Wysoka jakość wdrażanych zabezpieczeń.

6 Podniesienie kompetencji pracowników w zakresie cyberbezpieczeństwa.


Wsparcie KPMG w zapewnieniu zgodności z Dyrektywą NIS2

Analiza

  • Analiza wpływu – weryfikacja w jakim zakresie wymogi Dyrektywy NIS2 dotyczą przedsiębiorstwa
  • Identyfikacja luk – ocena w jakim stopniu obecne rozwiązania w zakresie cyberbezpieczeństwa spełniają wymogi Dyrektywy NIS2, a następnie opracowanie roadmapy prowadzącej do pełnej zgodności
  • Analiza ryzyka – identyfikacja zabezpieczeń adekwatnych do zagrożeń
  • Testy penetracyjne – praktyczna ocena podatności pracowników, procesów, infrastruktury i aplikacji na cyberataki

Doradztwo

  • Reorganizacja bezpieczeństwa – dostosowanie struktur zarządzania do strategii cyberbezpieczeństwa i nowych regulacji
  • Wdrażanie i optymalizacja systemów zarządzania cyberbezpieczeństwem oraz ciągłością działania
  • Budowanie świadomości pracowników w zakresie cyberzagrożeń

Wdrożenia

  • Kompleksowe wdrożenie wymaganych zabezpieczeń, w partnerstwie z wiodącymi dostawcami systemów bezpieczeństwa
  • Niezależna weryfikacja jakości prowadzonego wdrożenia
  • Wsparcie w rozwoju i utrzymaniu wdrożonych systemów

O nas | Wiedzę naszych ekspertów potwierdzają liczne certyfikaty:

  • CISM (Certified Information Security Manager)
  • CISSP (Certified Information Systems Security Professional)
  • CISA (Certified Information Systems Auditor)
  • OSCP (Offensive Security Certified Professional)
  • LPT (Licensed Penetration Tester)
  • CEH (Certified Ethical Hacker)
  • GWAPT (GIAC Web Application Penetration Tester)
  • GMOB (GIAC Mobile Device Security Analyst)
  • CRISC (Certified in Risk and Information Systems Control)
  • CCSP (Cisco Certified Security Professional)
  • CCSA (Check Point Security Administrator)
  • GCWSA (GIAC Certified Windows Security Administrator)
  • MCTS (Microsoft Certified Technology Specialist)
  • RHCE (Red Hat Certified Engineer)
  • RHCSA (Red Hat Certified System Administrator)
  • GCUX (GIAC Certified UNIX Security Administrator)
  • LPI LPIC-1 Certified Linux Administrator
  • SUSE Certified Administrator
  • GSSP-JAVA (GIAC Secure Software Programmer – JAVA)
  • ECSA (Certified Security Analyst)
  • Information Systems Security (INFOSEC) Professional
  • ISO 27001 Information Security Management System Lead Auditor
  • GAWN (GIAC Auditing Wireless Networks Certified Professional)
  • CCNA (Cisco Certified Network Associate)
  • PMP (Project Management Professional)
  • CIA (Certified Internal Auditor).

Skontaktuj się z nami

Michał Kurek KPMG w Polsce posty na blogu
Michał Kurek
Partner, Advisory, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej
KPMG w Polsce
Profil | | Tel
Marcin Kieszkowski posty na blogu
Marcin Kieszkowski
Dyrektor, Advisory, Zespół Cyberbezpieczeństwa
KPMG w Polsce
Profil | | Tel
Wyślij zapytanie ofertowe

Powiązane usługi

technologie, układ scalony, powiązania, abstrakcja
Testy penetracyjne systemów IT oraz aplikacji

Symulowany atak hakerski może pomóc wykryć luki w zabezpieczeniach IT organizacji.

abstrakcja neonowe plamki
Zarządzanie tożsamością i dostępem (IAM)

Skuteczna ochrona informacji wymaga właściwego administrowania cyfrową tożsamością.

Audyt zgodności z RODO

Audyt systemu ochrony danych osobowych.

Zobacz także

Dyrektywa NIS2
Dyrektywa NIS2

Wzmacnianie cyberbezpieczeństwa systemów OT i IT w świetle zaktualizowanych przepisów.

Barometr Cyberbezpieczeństwa

Na fali, czy w labiryncie regulacji?

Monitor Transformacji Cyfrowej Biznesu. Edycja 2024

Odkrywanie nieznanych ścieżek w cyfrowym lesie