Polska zainwestuje ponad 3 miliardy złotych w budowę cybertarczy, której celem jest zabezpieczenie krytycznej infrastruktury kraju. Środki pochodzące m.in. z Krajowego Planu Odbudowy (KPO) będą przeznaczone głównie na wzmocnienie cyberbezpieczeństwa na poziomie samorządów.
Minister cyfryzacji, Krzysztof Gawkowski, ogłosił to podczas wspólnej konferencji prasowej z szefem MSWiA i koordynatorem służb specjalnych Tomaszem Siemoniakiem, która odbyła się 3 czerwca.
Minister Gawkowski podkreślił, że codziennie Polska staje się celem wielu skoordynowanych ataków cybernetycznych, głównie ze strony Federacji Rosyjskiej, która stara się zdestabilizować sytuację w kraju. "Polska dzisiaj jest już nie na zimnej, ale w niektórych elementach na ciepłej wojnie cybernetycznej z Rosją," zaznaczył Gawkowski.
NIS2 – nowa era cyberbezpieczeństwa w Unii Europejskiej
W dobie cyfryzacji i rosnącej liczby cyberzagrożeń, Unia Europejska wprowadza nowe regulacje mające na celu zwiększenie poziomu bezpieczeństwa sieci i systemów informacyjnych. Dyrektywa NIS2, czyli Network and Information Systems Directive 2, stanowi kolejny krok w kierunku ujednolicenia i wzmocnienia cyberbezpieczeństwa na terenie UE. Co to oznacza dla przedsiębiorstw i instytucji w Polsce?
Oto najważniejsze informacje.
Czym jest NIS2?
Dyrektywa NIS2 to nowa regulacja Parlamentu Europejskiego dotycząca bezpieczeństwa sieci i systemów informacyjnych. Jej celem jest podniesienie ogólnego poziomu cyberbezpieczeństwa w Unii Europejskiej poprzez wprowadzenie surowszych wymagań dla państw członkowskich oraz przedsiębiorstw.
Kluczowe cele i wymagania
Dyrektywa NIS2 ma na celu:
- Zwiększenie odporności przedsiębiorstw na cyberzagrożenia – firmom nakłada się obowiązek wdrożenia bardziej rygorystycznych środków technicznych, operacyjnych i organizacyjnych.
- Poprawę współpracy kryzysowej – między państwami członkowskimi i przedsiębiorstwami.
- Ujednolicenie rozumienia zagrożeń – poprzez bardziej precyzyjne wymogi raportowania incydentów.
- Odpowiedzialność kierownictwa – firmy muszą zapewnić, że ich zarząd skutecznie zarządza ryzykiem związanym z cyberbezpieczeństwem.
Kogo dotyczy NIS2?
Dyrektywa obejmuje dwa typy podmiotów:
- Podmioty niezbędne (essential entities) – m.in. energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna.
- Podmioty istotne (important entities) – przedsiębiorstwa i instytucje, które nie są klasyfikowane jako krytyczne, ale mają znaczący wpływ na infrastrukturę cyfrową.
Terminy wdrożenia
Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku. Państwa członkowskie mają 21 miesięcy na wprowadzenie jej postanowień do prawa krajowego, co w Polsce oznacza konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa do 17 października 2024 roku. Nowe przepisy będą stosowane od 18 października 2024 roku.
Trwa obecnie proces legislacyjny. Z ustawą można zapoznać się TUTAJ.
Surowe kary za nieprzestrzeganie
Dyrektywa NIS2 przewiduje wysokie kary finansowe dla podmiotów, które nie będą realizować jej zapisów we właściwy sposób. Mogą one wynosić nawet do 10 milionów EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
Obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa
Podmioty objęte dyrektywą muszą wdrożyć:
- Analizę ryzyka i polityki bezpieczeństwa systemów informatycznych.
- Obsługę incydentów – zapobieganie, wykrywanie i reagowanie na incydenty.
- Ciągłość działania i zarządzanie kryzysowe.
- Bezpieczeństwo łańcucha dostaw.
- Kryptografię i szyfrowanie danych.
Nowe mechanizmy współpracy
Dyrektywa wprowadza nowe mechanizmy współpracy międzynarodowej, takie jak ustanowienie Europejskiej sieci zarządzania kryzysowego w Cyberprzestrzeni (EU-CyCLONe). Sieć ta ma wspierać koordynację zarządzania incydentami na dużą skalę na poziomie UE. Ponadto, rola ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) zostaje wzmocniona, a od tej pory będzie ona odpowiedzialna za przygotowanie „Sprawozdania o stanie cyberbezpieczeństwa w Unii”.
Przykłady przepisów NIS2
Dyrektywa NIS2 zawiera wiele szczegółowych przepisów dotyczących różnych aspektów bezpieczeństwa, w tym:
- Bezpieczeństwo fizyczne – przykładowe zapisy nr 30 dotyczą bezpieczeństwa fizycznego infrastruktury IT.
- Aktualizacja oprogramowania – obowiązek regularnych aktualizacji, aby zapewnić bezpieczeństwo systemów.
- Oprogramowanie otwarte – zasady dotyczące bezpiecznego korzystania z oprogramowania open-source.
- Szyfrowanie – obowiązek stosowania zaawansowanych metod kryptograficznych w celu ochrony danych.
- Secure by design – podejście polegające na projektowaniu systemów z myślą o bezpieczeństwie od samego początku.
Co NIS2 oznacza dla firm?
Wprowadzenie dyrektywy NIS2 oznacza dla firm konieczność dostosowania swoich procedur i polityk bezpieczeństwa do nowych wymogów. Przedsiębiorstwa muszą nie tylko wdrożyć odpowiednie środki techniczne i organizacyjne, ale także zadbać o regularne szkolenia pracowników oraz współpracę z zewnętrznymi dostawcami usług IT.
Jak C&C Partners może pomóc?
Firma C&C Partners oferuje kompleksowe wsparcie w zakresie wdrażania wymagań dyrektywy NIS2 . Nasze usługi obejmują:
Doradztwo i konsultacje - oferujemy wsparcie doradcze w zakresie wdrażania środków technicznych i organizacyjnych zgodnych z NIS2.
Dostarczenie i wdrożenie - dostarczane przez nas systemy zabezpieczeń są przygotowane na to, żeby spełnić obowiązującą wkrótce dyrektywę NIS2.
Nie zwlekaj, skontaktuj się z nami już dziś, aby dowiedzieć się więcej o naszych rozwiązaniach i jak możemy pomóc w dostosowaniu się do nowych przepisów!