NIS2 - co oznacza nowa dyrektywa dla polskich firm

Czym jest NIS2?

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijne rozporządzenie zastępujące pierwotną dyrektywę NIS z 2016 roku. Znacząco rozszerza zakres podmiotów objętych regulacją i wprowadza surowsze wymagania.

Kogo dotyczy NIS2?

#

Podmioty kluczowe (essential entities)
- Energetyka
- Transport
- Bankowość i infrastruktura finansowa
- Zdrowie
- Woda pitna
- Infrastruktura cyfrowa
- Administracja publiczna

#

Podmioty ważne (important entities)
- Usługi pocztowe
- Zarządzanie odpadami
- Produkcja chemikaliów
- Przetwórstwo spożywcze
- Produkcja wyrobów medycznych
- Usługi cyfrowe

Kluczowe wymagania

#

Zarządzanie ryzykiem
- Analiza ryzyka i polityki bezpieczeństwa
- Obsługa incydentów
- Ciągłość działania i zarządzanie kryzysowe
- Bezpieczeństwo łańcucha dostaw

#

Raportowanie incydentów
- 24 godziny na wczesne ostrzeżenie
- 72 godziny na szczegółowe powiadomienie
- Miesięczny raport końcowy

#

Odpowiedzialność zarządu
Członkowie zarządu są osobiście odpowiedzialni za cyberbezpieczeństwo i muszą przejść odpowiednie szkolenia.

Sankcje

- Podmioty kluczowe: do 10 mln EUR lub 2% obrotu
- Podmioty ważne: do 7 mln EUR lub 1,4% obrotu

Timeline implementacji

- 17 października 2024 - termin transpozycji do prawa krajowego
- Polska ustawa o krajowym systemie cyberbezpieczeństwa w trakcie nowelizacji

Jak się przygotować?

1. Przeprowadź ocenę dojrzałości cyberbezpieczeństwa
2. Zidentyfikuj luki względem wymagań NIS2
3. Opracuj roadmapę wdrożenia
4. Wdróż system zarządzania incydentami
5. Przeszkol zarząd i personel

Podsumowanie

NIS2 to największa zmiana w regulacjach cyberbezpieczeństwa od lat. Organizacje powinny już teraz rozpocząć przygotowania.