Dyrektywa w sprawie bezpieczeństwa sieci i informacji (UE) 2022/2555, powszechnie nazywana NIS2, to kompleksowy akt prawny Unii Europejskiej mający na celu poprawę cyberbezpieczeństwa w całej Europie. Od 16 stycznia 2023 r., kiedy dyrektywa weszła w życie, państwa członkowskie UE mają 21 miesięcy na wdrożenie jej postanowień do swoich krajowych przepisów. Wymaga się, aby wszystkie kraje UE przestrzegały nowych regulacji od 18 października 2024 r. i wprowadziły środki prawne mające na celu poprawę standardów cyberbezpieczeństwa zarówno dla podmiotów publicznych, jak i prywatnych.
Przegląd NIS2
Jeśli Twoja firma świadczy usługi dla europejskiej gospodarki i społeczeństwa, ta dyrektywa prawdopodobnie Cię dotyczy. W poprzednim artykule nt. NIS2 pisaliśmy szerzej nt. organizacji, których dotyczy NIS2: Jak sprawdzić, czy NIS2 obowiązuje w mojej organizacji? | C&C Partners (ccpartners.pl). Dlatego ważne jest, aby zrozumieć, w jaki sposób dyrektywa NIS2 może wpłynąć na Twoją obecną sytuację w zakresie cyberbezpieczeństwa. Aby uniknąć poważnych kar za nieprzestrzeganie przepisów, musisz opracować jasne podejście do zgodności oraz strategię, ponieważ dyrektywa NIS2 dotyczy nie tylko unikania kar finansowych; wymaga ona silniejszego nadzoru i egzekwowania oraz osobistej odpowiedzialności kadry zarządzającej.
W naszym artykule znajdziesz szczegółowe informacje na temat NIS2, w tym które organizacje są objęte zakresem, szczegóły dotyczące różnych sektorów przemysłu i co musisz zrobić, aby Twoja firma była zgodna z NIS2. Przyjrzymy się karom finansowym i innym obciążeniom, które mogą zostać nałożone na Twoją firmę, jeśli nie potraktujesz NIS2 poważnie.
Dlaczego potrzebujemy NIS2?
Pierwotne przepisy NIS powstały w odpowiedzi na obawy związane z cyberbezpieczeństwem i zmieniającym się krajobrazem zagrożeń, a wydarzenia z ostatnich lat (pandemia COVID-19, inwazja Rosji na Ukrainę i ciągły wzrost różnych rodzajów cyberataków) skłoniły UE do rozszerzenia i wzmocnienia pierwotnej dyrektywy, czego rezultatem jest NIS2.
Wpływ tej nowej dyrektywy może być tak znaczący jak RODO, więc musisz być świadomy nadchodzących wymogów. NIS2 ma na celu rozwiązanie tych niedociągnięć poprzez krajowe strategie cyberbezpieczeństwa, zwiększoną współpracę i wymianę informacji między państwami członkowskimi, zwiększone obowiązki w zakresie zarządzania ryzykiem i raportowania incydentów oraz surowszy nadzór regulacyjny i egzekwowanie przepisów.
Podczas gdy RODO dotyczy ochrony danych osobowych i praw do prywatności, NIS2 skupia się na bezpieczeństwie i odporności sieci oraz systemów informacyjnych, szczególnie w organizacjach kluczowych dla funkcjonowania współczesnego społeczeństwa.
Kategorie podmiotów w NIS1 (2016) i NIS2
Dyrektywa z 2016 r. definiowała dwa rodzaje organizacji:
- Usługi kluczowe, takie jak dostawcy energii, transportu, wody i opieki zdrowotnej.
- Dostawcy usług cyfrowych, np. rynki internetowe, usługi chmurowe i wyszukiwarki internetowe.
Firmy należące do jednej z tych kategorii musiały spełniać trzy wymagania:
- Podejmowanie odpowiednich środków bezpieczeństwa w celu ochrony przed zagrożeniami cybernetycznymi.
- Zgłaszanie incydentów, które miały znaczący wpływ na działalność.
- Powiadamianie odpowiednich władz o poważnych incydentach.
W pierwotnej legislacji to państwa członkowskie UE decydowały o rodzajach firm, które musiały przestrzegać NIS, ale NIS2 zmieniła nazewnictwo na "podmioty kluczowe" i "podmioty ważne", jednocześnie bardziej precyzyjnie określając typy firm, które wchodzą w te kategorie.
Dyrektywa NIS2 ma zastosowanie zarówno do organizacji z siedzibą w UE, jak i do organizacji spoza UE, które świadczą usługi na jej terytorium. Państwa członkowskie muszą prowadzić aktualną listę wszystkich podmiotów kluczowych i ważnych działających w ich jurysdykcji.
Kary i sankcje za naruszenie NIS2
Podczas gdy NIS2 przynosi liczne korzyści, stanowi także wyzwania związane z wdrażaniem i przestrzeganiem przepisów. Dla niektórych organizacji, zwłaszcza mniejszych, może to być trudne, ponieważ będą musiały zmierzyć się z dodatkowymi kosztami i wymaganiami dotyczącymi zasobów.
Dyrektywa NIS2 przewiduje zarówno kary pieniężne, jak i sankcje niematerialne oraz możliwe sankcje karne.
Środki niematerialne
W przypadku sankcji niematerialnych, dyrektywa NIS2 uprawnia krajowe organy nadzoru do nakładania kar niematerialnych, w tym:
- Wiążące instrukcje
- Nakazy wdrożenia audytu bezpieczeństwa
- Nakazy powiadamiania klientów o zagrożeniu
- Nakazy zgodności
Jeśli Twoja firma podlega dyrektywie NIS2, warto rozważyć dodatkowe niematerialne konsekwencje poważnego naruszenia bezpieczeństwa cybernetycznego i wynikające z tego skutki. W zależności od rodzaju ataku oraz braku lub niewłaściwego działania zabezpieczeń, które doprowadziły do skutecznego naruszenia, klienci, partnerzy i inwestorzy mogą stracić zaufanie do Twojej firmy. Klienci mogą wahać się przed zakupem, partnerzy mogą poszukiwać bardziej niezawodnych dostawców, a inwestorzy mogą wycofać swoje wsparcie.
Wynikające z tego szkody reputacyjne również trudno oszacować, ale na pewno warto uwzględnić je w planowaniu zarządzania ryzykiem. Istnieje również prawdopodobieństwo, że inne organizacje będą minimalizować swoje ryzyko, współpracując jedynie z firmami zgodnymi z NIS2, co może prowadzić do niekorzystnej sytuacji konkurencyjnej, jeśli nie potraktujesz zgodności poważnie. Może się również okazać, że trudno będzie zatrudnić najlepsze talenty do zespołu IT lub ds. cyberbezpieczeństwa, jeśli firma będzie znana z niedbałych praktyk w zakresie bezpieczeństwa.
Kary administracyjne
Jeśli chodzi o kary administracyjne, dyrektywa NIS2 wyraźnie rozróżnia podmioty kluczowe i ważne.
W przypadku podmiotów kluczowych państwa członkowskie są zobowiązane do ustalenia maksymalnego progu kary, wynoszącego co najmniej 10 milionów euro lub 2% globalnych rocznych przychodów, w zależności od tego, która kwota jest wyższa.
Dla podmiotów ważnych NIS2 nakazuje państwom członkowskim nakładanie kar do maksymalnej wysokości 7 milionów euro lub 1,4% globalnych rocznych przychodów, wybierając wyższą z tych wartości. To rozróżnienie podkreśla stopniowe podejście do kar w zależności od klasyfikacji podmiotów. Warto również zauważyć, że wiele ważnych podmiotów po raz pierwszy znajduje się w zakresie NIS2, a dla mniejszych organizacji uzyskanie zgodności może wydawać się trudnym zadaniem.
Te mniejsze firmy (jak i większe przedsiębiorstwa) będą musiały poświęcić wiele wysiłku, aby upewnić się, że ich praktyki w zakresie cyberbezpieczeństwa są gotowe na audyt NIS2. Wszystko to wymaga czasu, koncentracji zespołu oraz zasobów finansowych. Koszt poprawy cyberbezpieczeństwa w celu zgodności z konkretną regulacją, zwłaszcza w przypadku MŚP, należy uwzględnić w budżecie, zwłaszcza jeśli organizacja musi wprowadzić wiele zmian w swoich procesach i systemach, aby osiągnąć wymagany standard obrony cybernetycznej.
Sankcje karne dla kierownictwa
Aby odciążyć działy IT, które są odpowiedzialne za bezpieczeństwo organizacji, oraz zmienić postrzeganie odpowiedzialności za cyberbezpieczeństwo, dyrektywa NIS2 wprowadza nowe środki, które nakładają osobistą odpowiedzialność na wyższą kadrę zarządzającą w przypadkach rażącego niedbalstwa w wyniku naruszenia bezpieczeństwa.
Dyrektywa NIS2 wyraźnie umożliwia organom ścigania pociąganie członków zarządu do odpowiedzialności osobistej, jeśli wykazano rażące niedbalstwo po cyberkatastrofie. Uprawnienia te obejmują:
- Organizacje muszą publicznie zgłaszać naruszenia zgodności.
- Publikowanie komentarzy, które identyfikują osoby fizyczne i prawne odpowiedzialne za przestępstwo i wyjaśniają jego charakter.
- W przypadku podmiotów kluczowych tymczasowy zakaz pełnienia funkcji kierowniczych w przypadku powtarzających się naruszeń.
Raportowanie incydentów zgodnie z NIS2
W przypadku naruszenia lub incydentu organizacje muszą przestrzegać 3-etapowej procedury raportowania:
- Muszą przekazać właściwemu organowi pierwsze wczesne ostrzeżenie w ciągu 24 godzin od wykrycia incydentu.
- Następnie organizacja musi dostarczyć bardziej formalne zawiadomienie o incydencie w ciągu 72 godzin.
- Ostateczny raport musi zostać dostarczony miesiąc po formalnym zawiadomieniu o incydencie, a organizacja musi odpowiadać na wszelkie prośby o aktualizacje statusu oraz dostarczać raporty postępów na żądanie.
Incydent objęty dyrektywą NIS2 może również zostać uznany za naruszenie RODO. W takim przypadku NIS2 nie nałoży kary finansowej za ten sam incydent. Niemniej jednak NIS2 może nałożyć inne sankcje niematerialne za ten sam incydent.
Kolejne kroki w kierunku NIS2
Do czasu wdrożenia NIS2 w Twojej organizacji nie musisz podejmować żadnych konkretnych działań. Jednak wiele z wymienionych w NIS2 środków bezpieczeństwa to działania, które powinieneś i tak podejmować, aby chronić swoje kluczowe dane biznesowe.
Obejmują one:
- Przeprowadzenie audytu danych – musisz wiedzieć, jakie usługi chmurowe i aplikacje SaaS są wykorzystywane do przechowywania i przetwarzania danych Twojej firmy.
- Regularny przegląd istniejących narzędzi i strategii cyberbezpieczeństwa oraz zapewnienie zgodności przed wystąpieniem naruszenia.
- Szyfrowanie danych zarówno w trakcie przesyłania, jak i w spoczynku.
- Posiadanie niezawodnego rozwiązania do tworzenia kopii zapasowych wszystkich danych, w tym tych przechowywanych w aplikacjach SaaS.
- Posiadanie kompleksowej strategii odzyskiwania danych po awarii oraz planu ciągłości działania, a także regularne testowanie jej w przypadku naruszenia e-maili firmowych.
- Zapewnienie, aby wszyscy pracownicy otrzymywali szkolenia z zakresu cyberbezpieczeństwa oraz regularne sesje przypominające.
Cyberbezpieczeństwo to nie jednorazowy wysiłek. Zagrożenia cybernetyczne stale ewoluują i stanowią nieustanne wyzwanie dla organizacji, które dążą do utrzymania silnych mechanizmów obrony. Nowe techniki ataków, luki i złośliwi aktorzy nieustannie się pojawiają, co oznacza, że firmy muszą priorytetowo traktować ciągłą gotowość. Dyrektywa NIS2 wyznacza nową normę, którą każda nowoczesna firma powinna przyjąć, aby bezpiecznie działać w dzisiejszym hiperpołączonym świecie. Przestrzeganie NIS2 to nie tylko unikanie kar, to zabezpieczanie przyszłości Twojej firmy w erze cyfrowych wojen.
Share on
Share on
Share on
Autor
