Październik roku 2024 przyniesie ze sobą zmiany w regulacjach prawnych dotyczących cyberbezpieczeństwa. Wejdzie wówczas w życie Dyrektywa NIS2 – Network and Information Systems Directive 2, obejmująca szeroką grupę organizacji działających w przestrzeni cyfrowej i będąca nowelizacją pierwszego europejskiego prawa odnoszącego się do bezpieczeństwa cyfrowego państw członkowskich Unii Europejskiej i podmiotów działających na jej obszarze. Warto zapoznać się szczegółowo z jej treścią, ponieważ naruszenie Dyrektywy NIS2 niesie ze sobą zarówno wysokie kary finansowe dla organizacji, jak i możliwość pociągnięcia do odpowiedzialności jej najwyższego kierownictwa. 

Główne założenie znowelizowanej Dyrektywy NIS2.

Dyrektywa NIS2 zakłada następujące rozszerzenie obowiązujących do tej pory przepisów:

•               zwiększenie wymagań dotyczących zarządzania, obsługi i ujawniania luk w zabezpieczeniach

•               przeprowadzania testów poziomu cyberbezpieczeństwa i efektywności szyfrowania

•               doprecyzowanie obowiązku raportowania incydentów

•               odpowiedzialność najwyższego  kierownictwa firmy za wdrożenie, zgodność i funkcjonowanie systemu zarządzania ryzykiem w cyberbezpieczeństwie

•               uruchomienie Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni

•               wzmocnienie roli Grupy Współpracy w wymianie informacji istotnych dla bezpieczeństwa cyfrowego

•               wprowadzenie koordynacji między Państwami w obszarze ujawniania podatności na cyberataki 

•               wprowadzenie obowiązkowej sprawozdawczości o stanie cyberbezpieczeństwa w UE, za prowadzenie której odpowiedzialna będzie ENISA

•               zwiększenie zakresu kontroli i nadzoru organów administracji publicznej nad pomiotami objętymi Dyrektywą. 

Kogo obejmuje Dyrektywa NIS2?

Znowelizowane przepisy dotyczyć będą średnich i dużych przedsiębiorstw z wielu sektorów, oraz uczestników całego łańcucha dostaw, którzy zobowiązani zostaną do wdrożenia i utrzymywania procedur związanych z zagwarantowaniem bezpieczeństwa dla swoich zasobów cyfrowych. Ma to zapewnić zabezpieczenie infrastruktury krytycznej przed cyberatakami i ochronę kluczowych obszarów funkcjonowania państwa w niezbędnych i istotnych branżach. Do tej pory przepisy dotyczyły kilku wybranych kluczowych obszarów. W ramach NIS2 przepisami zostaną objęte dodatkowo: produkcja żywności i napojów, produkcja farmaceutyczna i chemiczna, transport publiczny, usługi pocztowe i kurierskie, wodociągi i kanalizacja, zarządzanie odpadami, produkcja urządzeń medycznych.

Dodatkowo przewidziano możliwość dobrowolnego zgłaszania incydentów zagrożenia dla cyberbezpieczeństwa przez podmioty, które nie zostały objęte Dyrektywą. 

 Maciej Musiał (Specjalista ds. IT)