Zgłaszanie incydentów naruszających cyberbezpieczeństwo, skuteczne zarzadzanie ryzykiem, obowiązkowe szkolenia, stosowanie bezpiecznych i certyfikowanych rozwiązań, to tylko niektóre z wymogów, które nakłada na kluczowe i ważne firmy i instytucje funkcjonujące w państwie unijna dyrektywa NIS 2. Już za niecały rok, od 17 października 2024 roku, podmioty o kluczowym znaczeniu dla funkcjonowania gospodarki i państwa będą musiały stosować zawarte w niej przepisy. Unijne przepisy mają na celu przygotowanie firm i instytucji do lepszego radzenia sobie z zagrożeniami w dziedzinie cyberbezpieczeństwa.
Kto będzie stosował nowe przepisy?
Od kilku lat funkcjonuje dyrektywa NIS. Do jej stosowania zobowiązani byli operatorzy usług kluczowych, dostawcy usług cyfrowych i podmioty publiczne. Nowa regulacja ten katalog zmienia i jednocześnie rozszerza.
Dziś mówimy o podmiotach kluczowych i ważnych. Zgodnie z przyjętymi przepisami podmioty kluczowe to te, które operują w następujących branżach: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, sektor wody pitnej, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.
Druga kategoria to podmioty ważne. Tu mówimy o następujących sektorach: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, przetwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja (w szerokim znaczeniu), usługi cyfrowe, badania naukowe.
Oczywiście nie wszystkie podmioty operujące w tych branżach uznane zostaną za podmioty kluczowe i ważne. Istotnym kryterium jest wielkość danej firmy. NIS2 zakłada, że dyrektywa dotyczy przedsiębiorstw począwszy od średnich. Warto pamiętać, że to poszczególne państwa członkowskie kwalifikują podmioty do każdej z kategorii.
Dyrektywa zawiera oczywiście katalog wyłączeń. Nie będzie stosowana do podmiotów administracji publicznej prowadzących działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa (w tym prewencji przestępstw, prowadzenia postępowań, wykrywania przestępstw i ich ścigania). Wyłączenie dotyczy także innych podmiotów, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania praw.
Obowiązki
Katalog obowiązków obejmuje szeroki zakres zagadnień. Jednym z najważniejszych jest zgłaszanie poważnych incydentów do CSIRT. Powinno się stosować własne lub certyfikowane rozwiązania IT (produkty, procesy, usługi). Ważne jest wdrożenie proporcjonalnych środków zarządzania ryzykiem. Konieczna jest wymiana informacji i powiadamianie odbiorców usług o poważnych incydentach i podjętych środkach zaradczych. Istotną rolę odgrywać mają szkolenia. W przypadku kadry kierowniczej to obowiązkowy wymóg, ale zalecane są także dla ogółu pracowników.
Zgłaszanie incydentów zostało szczegółowo opisane i nakłada na objęte dyrektywą podmioty konkretne obowiązki. Bezzwłocznie (max. 24 h) – ostrzeżenie z informacją, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny. Bezzwłocznie (max. 72 h) – zgłoszenie incydentu z aktualizacją informacji i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków.
To oczywiście nie koniec. W ciągu miesiąca należy złożyć sprawozdanie końcowe dotyczące zaistniałego problemu. W podsumowaniu należy zawrzeć szczegółowy opis incydentu i jego skutków. Należy opisać przyczynę wystąpienia wypadku, a także opisać wdrażane środki zaradcze.
Co trzeba zrobić?
Jakie działania musi podjąć firma, instytucja w związku z wdrożeniem NIS2? Warto zapoznać się ze szczegółami przepisów. Istotnym elementem będzie ostateczne zakwalifikowanie do konkretnej kategorii podmiotów.
Z całą pewnością jednym z pierwszych kroków powinien być audyt bezpieczeństwa. To działanie, a właściwie jego rezultaty, pozwolą na określenie na ile funkcjonowanie podmiotu spełnia wymagania NIS 2 i co należy w tym względzie poprawić.
Zgodnie z dyrektywą należy opracować Plan Ciągłości Działania. Konieczne będzie także wdrożenie rozwiązań z zakresu zarządzania ryzykiem i analizy bezpieczeństwa. Kluczowym elementem jest przygotowanie się do zarządzania incydentami. To oczywiście tylko niektóre z koniecznych do podjęcia działań. Warto zauważyć, iż właściwe przygotowanie się do stosowania nowych regulacji z pewnością nie jest procesem, który można przeprowadzić błyskawicznie. Może on wymagać kilku miesięcy przygotowań.
Jak zweryfikują stosowanie dyrektywy?
Zarówno podmioty kluczowe jak i ważne poddane będą kontroli. Jej zakres ma być jednak stosowany „proporcjonalnie” w każdym przypadku. Przeprowadzane będą audyty, kontrole wyrywkowe, nadzór zdalny. Zakres nadzoru jest w zasadzie taki sam w przypadku podmiotów kluczowych i ważnych. W tym drugim przypadku wiele środków będzie jednak stosowanych ex post.
Kary…
Dyrektywa NIS2, o czym warto pamiętać, to także przepisy dotyczące nakładania kar pieniężnych i sankcji za naruszenie jej przepisów. I tak, podmiotom kluczowym za złamanie zasad zarządzania ryzykiem lub zgłaszania incydentów, grozi kara administracyjna sięgająca nawet 10 mln euro lub 2% łącznego rocznego obrotu. W przypadku podmiotów ważnych grzywna może wynieść 7 mln euro lub 1,4% łącznego rocznego obrotu.
W Dyrektywie NIS2 zapisano również możliwość nakładania kar pieniężnych w celu wymuszenia przestrzegania przepisów. Naruszenie przepisów może skutkować także sankcjami karnymi.
NIS 2 – co robić?
Warto pamiętać, iż dyrektywa NIS 2 stanowi odpowiedź na rosnącą ciągle falę cyberzagrożeń. Jej implementacja to konieczność dla podmiotów, które zostaną zakwalifikowane do jednej z dwóch kategorii. Biorąc pod uwagę szczegółowe przepisy zapisane w tym dokumencie warto już dziś podjąć konkretne działania. Pierwsze kroki to z jednej strony zapoznanie się ze wszystkimi zapisami regulacji, z drugiej zaś jasne określenie i zweryfikowanie poziomu przygotowania podmiotu do sprostania cyberzagrożeniom i wymogom NIS 2.
To wszystko niesie ze sobą spory wysiłek organizacyjny, kosztuje zaangażowanie pracowników i wreszcie stanowi kolejne zobowiązanie finansowe. Warto jednak pamiętać, iż ta inwestycja nie tylko jest konieczna, bo tak stanowi prawo, ale to także działanie, które się po prostu opłaca. Bezpieczeństwo kosztuje, jego brak grozi bankructwem.
W przypadku przygotowania do wdrożenia NIS 2 duże podmioty mogą próbować podjąć samodzielny trud realizacji całego procesu. Pozostaje oczywiście pytanie o opłacalność takiego procesu i o to czy nie lepiej skorzystać ze współpracy z zewnętrznymi konsultantami i ekspertami. W przypadku większości firm i instytucji praca z partnerami spoza organizacji będzie koniecznością. Nie należy jednak popełniać błędu polegającego na powierzeniu całego procesu zewnętrznej firmie i potraktowaniu tego, jako zadania w które nie będą zaangażowani zarząd i pracownicy beneficjenta. Tak zaprojektowany proces nie zakończy się sukcesem, a w tym wypadku jest on szczególnie ważny.
Chcesz dowiedzieć się jak przygotować Twoją firmę na NIS 2?
Skontaktuj się z nami – biuro@inseqr.pl
GALERIA:
