Nowa Dyrektywa NIS2 wprowadza ważne zmiany dotyczące cyberbezpieczeństwa w całej Unii Europejskiej. W związku z tym wiele firm musi zrozumieć, czy ta dyrektywa obowiązuje także ich. Aby sprawdzić, czy NIS2 dotyczy Twojej organizacji, warto odpowiedzieć na kilka kluczowych pytań.
KROK 1.
Klasyfikacja firmy według wielkości:
Średnie przedsiębiorstwa: Jeśli Twoja organizacja zatrudnia mniej niż 250 pracowników (ale więcej niż 50) oraz jej roczny obrót wynosi do 50 milionów euro (ale więcej niż 10 milionów euro) lub suma aktywów wynosi do 43 milionów euro, to jest klasyfikowana jako średnie przedsiębiorstwo według definicji UE.
Duże przedsiębiorstwa: Jeśli Twoja organizacja zatrudnia więcej niż 250 pracowników i jej roczny obrót wynosi co najmniej 50 milionów euro lub suma aktywów wynosi co najmniej 43 miliony euro, jest klasyfikowana jako duże przedsiębiorstwo według definicji UE. Jeśli Twoja firma spełnia jedną z powyższych definicji, możesz przejść do następnego kroku, aby ocenić, czy sektor, w którym działa Twoja firma, jest objęty dyrektywą NIS2.
KROK 2.
Sektor działalności:
NIS2 obowiązuje organizacje działające w określonych sektorach, które są kluczowe dla funkcjonowania gospodarki i społeczeństwa.
Jeśli Twoja organizacja działa w jednym z poniższych sektorów, istnieje duża szansa, że będzie objęta dyrektywą NIS2:
Energia: Dystrybucja, przesył i sprzedaż energii elektrycznej, gazu, ropy, czy operacje związane z punktami ładowania pojazdów elektrycznych.
Transport: Transport lotniczy, kolejowy, drogowy i wodny, w tym firmy żeglugowe oraz obiekty portowe.
Bankowość i finanse: Usługi kredytowe, rynki finansowe, infrastruktura finansowa.
Sektor zdrowia: Placówki medyczne, laboratoria badawcze, produkcja farmaceutyków, wytwarzanie urządzeń medycznych.
Zaopatrzenie w wodę: Dostawcy wody pitnej, operatorzy ścieków.
Infrastruktura cyfrowa i IT: Rejestry domen, usługi zaufania, centra danych, usługi chmurowe, usługi komunikacji elektronicznej, zarządzane usługi i bezpieczeństwo IT.
Administracja publiczna: Zarówno na poziomie centralnym, regionalnym, jak i lokalnym.
Kosmos: Operatorzy naziemnej infrastruktury kosmicznej.
Usługi pocztowe i kurierskie.
Gospodarka odpadami.
Produkcja i dystrybucja produktów chemicznych.
Przemysł spożywczy: Produkcja i dystrybucja żywności.
Produkcja: Produkcja urządzeń medycznych, elektroniki, optyki, maszyn, pojazdów silnikowych, naczep, innych środków transportu.
Dostawcy usług cyfrowych: Rynki internetowe, wyszukiwarki, platformy społecznościowe.
Organizacje badawcze.
Jeśli Twoja organizacja spełnia kryteria dotyczące wielkości przedsiębiorstwa i działa w jednym z powyższych sektorów, istnieje wysokie prawdopodobieństwo, że Dyrektywa NIS2 będzie obowiązywać Twoją firmę.
Jeśli Twoja organizacja korzysta z systemów zabezpieczeń takich jak CCTV (system monitoringu wizyjnego), system kontroli dostępu, system alarmowy, interkomowy lub inne zaawansowane systemy ochrony, warto zwrócić uwagę na to, że dyrektywa NIS2 obejmuje także kwestie związane z cyberbezpieczeństwem w kontekście takich instalacji.
Konsekwencje nieprzestrzegania zasad NIS2
Należy również pamiętać, że nieprzestrzeganie zasad NIS2 będzie surowo egzekwowane i karalne. Organizacje, które nie dostosują się do nowych wymagań w zakresie cyberbezpieczeństwa, mogą być narażone na poważne konsekwencje, w tym kary finansowe oraz inne sankcje, które będą zależeć od charakteru i skali naruszeń. Z tego względu niezwykle ważne jest, aby zidentyfikować potencjalne zagrożenia i wdrożyć odpowiednie środki zapobiegawcze w zakresie ochrony systemów zabezpieczeń.
W takim przypadku warto skontaktować się z ekspertem ds. cyberbezpieczeństwa, aby dokładnie przeanalizować obowiązki wynikające z NIS2 i zapewnić zgodność z nowymi przepisami.
Dyrektywa NIS2 ma na celu zwiększenie bezpieczeństwa cyfrowego, a jej przestrzeganie jest kluczowe dla ochrony infrastruktury krytycznej w całej Unii Europejskiej.