Menu

Wyzwania dla organizacji stawiane przez Dyrektywę NIS 2

W ostatnich latach można zauważyć, że świat coraz bardziej dąży w kierunku cyfryzacji. Obecnie jest to jedno z podstawowych narzędzi niezbędnych do funkcjonowania i rozwoju przedsiębiorstw działających w różnych branżach. Oczywiście rozwój w kierunku Internetu i nowoczesnych technologii to bardzo dobry kierunek, który z pewnością ułatwi, usprawni i przyspieszy wiele procesów.

Warto jednak pamiętać, że wraz z postępem cywilizacji pojawiają się też nowe zagrożenia, których wcześniej nikt nie musiał brać pod uwagę. Jedną z poważniejszych kwestii jest oczywiście cyberprzestępczość, która jest nieodłączną częścią cyfryzacji i z roku na rok wraz z jej rozwojem również staje się coraz większym zagrożeniem.

Ponadto różnego rodzaju awarie, niedostępność podstawowych usług, wycieki danych itd. również są bardzo poważnym problemem. Z tego względu korzystanie z różnego rodzaju narzędzi informatycznych w celu optymalizacji procesów i zwiększenia cyberbezpieczeństwa, nie jest już tylko domeną wielkich korporacji, ale coraz bardziej staje się także nieodłączną częścią działalności mniejszych przedsiębiorstw.

Unia Europejska zauważyła to zagrożenie i w taki właśnie sposób powstała dyrektywa NIS, a następnie NIS 2, które zobowiązały państwa członkowskie do wprowadzenia odpowiednich środków i mechanizmów w celu zwiększenia bezpieczeństwa cyfrowego sieci i systemów informacyjnych.

Kiedy została wprowadzona dyrektywa NIS 2?

Dyrektywa NIS została przyjęta w 2016 roku, a jej wprowadzenie znacznie zwiększyło poziom cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Jednak nie sprawiło to, że zagrożenie całkowicie zniknęło, co więcej obecnie zagrożenie to jest znacznie większe i stale się rozwija. Z tego względu niezbędne było wprowadzenie pewnych zmian i rozbudowanie dotychczas obowiązujących zasad i przepisów dotyczących cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej.

W taki właśnie sposób 16 grudnia 2020 roku Komisja Europejska zaprezentowała nowy pakiet cyberbezpieczeństwa, czyli rozbudowaną dyrektywę NIS 2. Obecnie prace nad tą dyrektywą są jeszcze w toku, jednak cały proces jest już na finalnym etapie, dlatego też wprowadzenie dyrektywy NIS 2 można spodziewać się w niedługim czasie. Warto pamiętać o tym, że na implementację nowych przepisów państwa członkowskie będą miały 21 miesięcy od ich wejścia w życie.

Jakie zmiany wynikają z dyrektywy NIS 2?

Dyrektywa NIS 2 wprowadza pewne zmiany w stosunku do pierwszej wersji tej dyrektywy,  które mogą być dość znaczące. Jedną z nowości jest wprowadzenie obowiązku opracowania przez państwa członkowskie narodowego planu reagowania na kryzysy i incydenty bezpieczeństwa w dużej skali.

Ponadto ma powstać nowy organ — organizacja łącznikowa państw członkowskich, której głównym zadaniem będzie wsparcie w zakresie współpracy przy zarządzaniu incydentami bezpieczeństwa na dużą skalę. Zmianie uległy także podmioty objęte zakresem dyrektywy, ponieważ ich ilość ulegał znacznemu rozszerzeniu. Ponadto bardzo istotną kwestią jest również to, że zgodnie z dyrektywą NIS 2 obowiązkom w zakresie cyberbezpieczeństwa mogą podlegać również mali i mikroprzedsiębiorcy, którzy spełniają określone wymagania.

W nowej dyrektywie zrezygnowano też z rozróżniania zakresu obowiązków w zakresie cyberbezpieczeństwa w zależności od kategorii podmiotu obowiązanego. Został również nałożony obowiązek raportowanie incydentów bezpieczeństwa na wszystkie podmioty kluczowe oraz istotne.

Kto musi dostosować się do dyrektywy NIS 2?

Dyrektywa NIS 2 obejmuje dwa typy podmiotów

  • Podmioty niezbędne
    • energetyka
    • transport
    • bankowość
    • infrastruktura rynków finansowych
    • zdrowia
    • woda pitna
    • ścieki
    • infrastruktura cyfrowa
    • administracja publiczna
    • przestrzeń kosmiczna
  • Podmioty istotne
    • usługi pocztowe i kurierskie
    • gospodarowanie odpadami
    • produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne, sprzęt elektryczny, maszyny i wyposażenie, pojazdy samochodowe, przyczepy i naczepy, inny sprzęt transportowy)
    • produkcja i dystrybucja chemikaliów
    • produkcja, przetwarzanie i dystrybucja żywności
    • dostawcy cyfrowi

W jaki sposób dostosować swoją działalność dyrektywy NIS 2?

Dostosowanie swojej działalności do dyrektywy NIS 2 to trudne zadanie, które wymaga stopniowego wdrażania nowych rozwiązań i modyfikowania obecnie wykorzystywanych systemów. Kluczową rolę odgrywa tutaj identyfikowanie krytycznych zasobów i sieci oraz przeprowadzenie oceny obecnego stanu cyberbezpieczeństwa organizacji. Te kroki pozwolą wykryć wszelkie luki i niedociągnięcia w obecnym systemie cyberbezpieczeństwa i zmodyfikować go w taki sposób, aby był on w pełni bezpieczny i aby spełniał wymagania dyrektywy NIS 2.