Dyrektywa NIS2 na rzecz wspólnego poziomu cyberbezpieczeństwa
Dyrektywa NIS2 to ogólnounijne prawodawstwo dotyczące bezpieczeństwa informacji, zapewniające środki prawne mające na celu zwiększenie ogólnego poziomu cyberodporności i standaryzację cyberbezpieczeństwa w całej UE.
Państwa członkowskie UE są zobowiązane do transpozycji NIS2 do swoich przepisów krajowych do 17 października 2024 roku.
Poza kilkoma wyjątkami, wymagania NIS2 mają zastosowanie do średnich i dużych przedsiębiorstw (50 lub więcej pracowników lub roczny obrót w wysokości 10 milionów euro), w wielu sektorach przemysłu, w tym między innymi w opiece zdrowotnej, usługach cyfrowych, infrastrukturze, bankowości i finansach, żywności, energii, wodzie, usuwaniu odpadów i usługach cyberbezpieczeństwa.
Głównym celem dyrektywy NIS2 jest promowanie kultury cyberbezpieczeństwa i zapewnienie odporności podstawowych usług w trzech kluczowych obszarach:
Zarządzanie ryzykiem i reagowanie na incydenty
NIS2 stanowi, że organizacje muszą przeprowadzać regularne oceny ryzyka w celu zidentyfikowania potencjalnych zagrożeń i posiadać solidne plany reagowania na incydenty, aby upewnić się, że mogą skutecznie reagować na incydenty cybernetyczne i odzyskiwać po nich dane.
Środki bezpieczeństwa
Wymaga ona od organizacji wdrożenia środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa ich sieci i systemów informatycznych. Obejmuje to kontrolę dostępu, szyfrowanie i regularne aktualizacje zabezpieczeń.
Wymagania dotyczące raportowania
Organizacje muszą również zgłaszać istotne incydenty cybernetyczne odpowiednim organom
*Broszura dostępna jedynie w języku angielskim
Kto powinnien dostosować się do wymagań NIS2?
Zmiany wchodzące w życie w październiku 2024 r. obejmują dodanie do zakresu nowych dostawców usług. W związku z tym dyrektywa NIS2 ma zastosowanie do organizacji działających lub prowadzących działalność na rzecz przedsiębiorstw z UE objętych jej zakresem.
Obejmuje to firmy, które pasują do opisu „kluczowej” lub „ważnej” organizacji w określonej liście sektorów, takich jak:
- dostawcy Internetu,
- dostawcy energii,
- dostawcy wody pitnej,
- przetwórcy odpadów,
- banki, przewoźnicy,
- instytucje opieki zdrowotnej,
- fabryki produkujące żywność,
- dostawcy infrastruktury cyfrowej.
NIS2 wymaga od przedsiębiorstw w UE określenia wymogów bezpieczeństwa dla swoich dostawców, co oznacza, że przestrzeganie przepisów będzie miało kluczowe znaczenie dla utrzymania konkurencyjności firm.
Brak działania może być kosztowny. W ramach NIS2 organy krajowe mogą nakładać szerszy zakres sankcji w porównaniu z NIS. Na przykład:
- Dyrektorzy i kierownictwo mogą zostać pociągnięci do osobistej odpowiedzialności za niepowodzenia w trakcie wdrożenia wymagań NIS2.
- Grzywny mogą wynosić do 10 milionów euro lub 2% całkowitego obrotu (w przypadku istotnych podmiotów) lub 7 milionów euro lub 1,4% całkowitego obrotu (w przypadku ważnych podmiotów).
- Organy regulacyjne mogą zawiesić prowadzoną przez nas działalność gospodarczą , jeśli uznają to za konieczne.
Odpowiednie sektory, regulowane dyrektywą NIS2 obejmują:
*Webinar dostępny jedynie w języku angielskim
Usługi potwierdzenia zgodności z wymaganiami NIS2 oferowane przez Bureau Veritas
Nasi eksperci Bureau Veritas, oferują szereg usług wspierających zgodność z dyrektywą NIS2, niezależnie od tego, gdzie znajdują się Państwo na swojej drodze do cyberbezpieczeństwa.
Sprawdzenie, czy NIS2 ma zastosowanie w Twojej organizacji
Pierwszym krokiem jest ustalenie, czy Państwa organizacja jest objęta zakresem dyrektywy NIS2, jeśli świadczą Państwo usługi na terytorium UE. NIS2 ma zastosowanie do ważnych i kluczowych podmiotów. To, czy firma jest tak sklasyfikowana, zależy od jej wielkości i sektora, w którym działa.
Szkolenia dla zarządu i pracowników
Szkolenia Państwa pracowników, zarówno na poziomie zarządu, jak i na innych poziomach, są istotną częścią wymagań dyrektywy NIS2. Opracowaliśmy dedykowany program szkoleniowy, który pomoże Państwu spełnić te wymagania na wszystkich poziomach.
Mapowanie obecnej sytuacji w organizacji
Aby określić, jakie kroki należy podjąć w celu spełnienia wymogów NIS2, ważne jest, aby mieć dobre wyobrażenie o tym, jakie są obecnie poziomy dojrzałości bezpieczeństwa różnych części Państwa organizacji. Nasza usługa oceny luk w zabezpieczeniach NIS2 mierzy, gdzie Państwo się znajdują i dokąd muszą Państwo zmierzać. Dzięki temu można mieć jasność, jakie kroki należy podjąć, aby zachować zgodność z NIS2.
Wdrożenie usprawnień
Po zmapowaniu obecnej sytuacji Państwa organizacji, mogą Państwo wdrożyć wszelkie działania naprawcze, które mogą być wymagane. Nasza szeroka gama rozwiązań może pomóc Państwu zarówno we wdrożeniu, jak i utrzymaniu wymaganego poziomu zgodności z dyrektywą NIS2.
Osiągnięcie zgodności z NIS2
Po wykonaniu tych kroków będą Państwo zgodni z NIS2, a Państwa organizacja będzie bezpieczniejsza w obliczu cyberzagrożeń.
Jakie są korzyści z potwierdzenia zgodności z dyrektywą NIS2?
Dlaczego warto wybrać Bureau Veritas dla swoich potrzeb w zakresie zgodności z NIS2?
Doświadczone zespoły z wieloletnim doświadczeniem w zakresie zarządzania ryzykiem i zgodności z przepisami.
Szereg usług opracowanych specjalnie w celu zaspokojenia Państwa potrzeb w zakresie NIS2 i pomocy w uzyskaniu zgodności z tą dyrektywą.
Eksperci ds. cyberbezpieczeństwa w dziedzinie ludzi, procesów i technologii.
Pojedynczy punkt kontaktowy i sprawdzone podejście partnerskie.
Jasny plan działania w celu uzyskania i utrzymania zgodności z dyrektywą NIS2.
Wsparcie globalnej wiedzy Bureau Veritas, światowego lidera w zakresie testowania, inspekcji i usług certyfikacyjnych.
-
Czym różni się Dyrektywa NIS2 od Dyrektywy NIS?
NIS2 koncentruje się na tych samych celach co NIS, ale obejmuje szerszy zakres sektorów, ma bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów oraz wyższe kary za nieprzestrzeganie przepisów. Rozszerza również zakres objętych nim organizacji.
-
Podsumowanie głównych wymagań NIS2
NIS2 stanowi, że należy ustanowić procesy analizy i zarządzania ryzykiem, bezpieczeństwa informacji i zarządzania zagrożeniami cyberbezpieczeństwa. W celu reagowania na sytuacje kryzysowe należy wdrożyć plany ciągłości i odzyskiwania danych. Istotne incydenty muszą być zgłaszane odpowiednim organom. Wymagane jest stosowanie w całej firmie technologii szyfrowania i uwierzytelniania wieloskładnikowego. Wymagane są także regularne szkolenia dla wszystkich pracowników w zakresie najlepszych praktyk dotyczących bezpieczeństwa informacji.
-
Jak NIS2 odnosi się do ISO 27001?
Chociaż zarówno ISO 27001, jak i NIS2 mają na celu zwiększenie cyberbezpieczeństwa, mają one różne zakresy, zastosowanie i ogólne podejście do cyberbezpieczeństwa. Jeśli Państwa system zarządzania bezpieczeństwem informacji (ISMS) jest certyfikowany zgodnie z ISO 27001, będą Państwo na dobrej drodze do osiągnięcia zgodności z NIS2, ale prawdopodobnie wymagane będą dodatkowe środki i procesy.