Wstęp
Nasz poradnik przedstawia główne założenia dyrektywy NIS2
Wyjaśniamy tu kluczowe elementy dyrektywy i dostarczamy Ci praktyczne wskazówki, jak wdrożyć nowe przepisy. Znajdziesz tu szczegółowe informacje o:
- obowiązkach kluczowych i ważnych podmiotów,
- sektorach, których dotyczą regulacje,
- procedurach, jak zgłaszać incydenty,
- podpowiedziach, które dotyczą środków zarządzania ryzykiem w Twojej firmie.
Czym jest NIS2
Dyrektywa NIS2 rozwija regulacje, które wprowadziła dyrektywa NIS, aby dalej wzmacniać cyberbezpieczeństwo w Unii Europejskiej. Jej celem jest stworzenie jednolitego, wysokiego poziomu cyberbezpieczeństwa w całej Unii.
W Polsce dyrektywa NIS2 zostanie implementowana poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Nowe przepisy zobowiążą przedsiębiorstwa m.in. do tego, aby stosowały odpowiednie środki techniczne i organizacyjne do zarządzania ryzykiem cybernetycznym oraz do zgłaszania incydentów bezpieczeństwa. Usprawniona zostanie współpraca i wymiana informacji między organami i podmiotami prywatnymi.
NASZA OFERTA
Wdrożenie NIS2
Zbuduj z nami odporność cyfrową
Implementacja do polskiego prawa
Implementacja dyrektywy NIS2 do polskiego prawa odbywa się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Poniżej znajdziesz główne kroki i założenia tego procesu.
1. Wyznaczenie właściwych organów
W Polsce, za nadzór i egzekwowanie przepisów, które dotyczą cyberbezpieczeństwa, odpowiadają:
- CSIRT MON,
- CSIRT NASK,
- CSIRT GOV.
2. Tworzenie narodowych strategii
Strategia każdego państwa członkowskiego – w tym Polski – musi uwzględniać nowe wymogi NIS2, takie jak:
- skoordynowane ujawnianie podatności (CVD),
- ramy zarządzania kryzysowego.
3. Współpraca i wymiana informacji
NIS2 promuje współpracę i wymianę informacji na poziomie krajowym i unijnym poprzez:
- Grupę współpracy: organ wspierający współpracę i wymianę najlepszych praktyk między państwami członkowskimi.
- Sieć CSIRT: sieć zespołów reagowania na incydenty komputerowe, które koordynują działania związane z cyberbezpieczeństwem.
- Europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (CyCLONe): platformę do szybkiej wymiany informacji i koordynacji działań w sytuacjach kryzysowych.
- Europejską bazę danych dotycząca podatności: centralny zbiór informacji o lukach w zabezpieczeniach, wspierający zarządzanie ryzykiem.
4. Proces legislacyjny
Aby dostosować polskie prawo do wymogów NIS2, władze naszego państwa wprowadzają zmiany w ustawie o krajowym systemie cyberbezpieczeństwa. Uwzględniają one:
- rozszerzenie definicji podmiotów kluczowych i ważnych – oparte o szczegółowe kryteria, które muszą spełniać przedsiębiorstwa, aby zostać uznanymi za podmioty kluczowe lub ważne;
- obowiązki kierownictwa – najwyższe kierownictwo podmiotów kluczowych i ważnych będzie odpowiadać za zarządzanie ryzykiem cyberbezpieczeństwa;
- nowe mechanizmy nadzoru – wprowadzenie nadzoru ex ante i ex post, w tym regularne audyty bezpieczeństwa, kontrole na miejscu oraz skany bezpieczeństwa.
Sektory objęte NIS2
Dyrektywa NIS2 - w porównaniu z dyrektywą NIS - uwzględnia dodatkowe sektory gospodarki i rozszerza kryteria uznania firm za kluczowe lub ważne. Oznacza to, objęcie regulacjami szerszego zakresu podmiotów. Lista sektorów objętych nową regulacją jest podzielona na dwie grupy: sektory kluczowe i sektory ważne.
Podmioty Kluczowe
- Opieka zdrowotna
- Energetyka
- Transport
- Woda pitna
- Infrastruktura cyfrowa
Podmioty Kluczowe (Nowe)
- Ścieki
- Przestrzeń kosmiczna
- Podmioty administracji publicznej
- Zarządzanie usługami ICT (B2B)
Podmioty Kluczowe (DORA)
- Bankowość
- Infrastruktura rynków finansowych
Podmioty Ważne
- Dostawcy usług cyfrowych
- Nauka
- Produkcja i dystrybucja żywności
- Usługi pocztowe i kurierskie
- Gospodarka odpadami
- Produkcja
- Przemysł chemiczny
Podmioty kluczowe i ważne – nadzór
Dyrektywa NIS rozróżniała operatorów usług kluczowych i dostawców usług kluczowych. W dyrektywie NIS2 definicje te zastępują podmioty kluczowe i podmioty ważne. Główne różnice, które dotyczą tych podmiotów, znajdziesz w poniższej tabeli.
Zgłaszanie incydentów – założenia
NIS2 wprowadza obowiązek stopniowego zgłaszania incydentów, które mają poważny wpływ na świadczenie usług. Incydent musisz zgłosić do CSIRT (ang. „zespół reagowania na incydenty związane z bezpieczeństwem komputerowym”).
W niektórych przypadkach, musisz powiadomić odbiorców swoich usług o poważnych zagrożeniach cybernetycznych. Jeżeli jest to w interesie publicznym, CSIRT lub odpowiedni właściwy organ może poinformować opinię publiczną o poważnym incydencie lub zobowiązać do tego Twoją firmę.
Proces zgłaszania incydentów
Poniżej opisaliśmy główne kroki, które musisz podjąć, aby zgłosić incydent.
1. Wczesne ostrzeżenie
Czas na działanie: 24 godziny od wykrycia incydentu
- Zawiera podstawowe informacje o incydencie.
- Uwzględnia podejrzenia działań bezprawnych lub w złym zamiarze.
- Informuje o potencjalnym wpływie transgranicznym.
2. Zgłoszenie incydentu
Czas na działanie: 72 godziny od wykrycia poważnego incydentu
- Wstępna ocena incydentu, jego dotkliwości i skutków.
- Wskaźniki integralności systemu.
- Szczegółowe informacje o potencjalnym wpływie transgranicznym.
3. Raport o statusie incydentu
Działanie: na żądanie organu
- Aktualne informacje o trwającym incydencie.
- Podjęte działania zaradcze.
4. Sprawozdanie końcowe
Czas na działanie: miesiąc od zgłoszenia incydentu
- Szczegółowy opis incydentu, jego dotkliwości i skutków.
- Rodzaj zagrożenia lub pierwotna przyczyna incydentu.
- Zastosowane środki ograniczające ryzyko.
- Transgraniczne skutki incydentu.
Jeśli incydent trwa, należy złożyć raport z postępów, a sprawozdanie końcowe dostarczyć w ciągu miesiąca od rozwiązania incydentu.
5. Powiadamianie odbiorców usług
Działanie: w razie potrzeby
- Informacje o działaniach lub środkach zaradczych dla odbiorców usług.
- Ograniczenie ryzyka wynikającego z poważnego cyberzagrożenia.
Środki zarządzania ryzykiem w zakresie bezpieczeństwa cybernetycznego
Jeśli Twoja firma jest podmiotem kluczowym lub ważnym, masz obowiązek wdrożyć środki zarządzania bezpieczeństwem informacji. Robisz to po to, aby chronić swoje systemy informacyjne oraz zapewnić ciągłość świadczenia usług. Poniżej znajdziesz szczegółowe wymagania, jakie musisz spełnić.
-
Analiza ryzyka i bezpieczeństwo systemów informatycznych:
- Systematycznie szacuj ryzyka wystąpienia incydentu oraz ustal plan zarządzania tym ryzykiem.
- Wdrażaj odpowiednie i proporcjonalne – do oszacowanego ryzyka – środki techniczne i organizacyjne. Uwzględnij najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu oraz prawdopodobieństwo wystąpienia incydentów.
-
Obsługa incydentów:
- Zarządzaj incydentami – wykrywaj je, rejestruj, analizuj, klasyfikuj, nadaj priorytety, podejmuj działania naprawcze oraz ograniczaj skutki incydentów.
- Zbieraj informacje o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego, który wykorzystujesz do świadczenia usługi.
-
Środki ciągłości działania:
- Utrzymuj i bezpiecznie eksploatuj system informacyjny.
- Wdrażaj, dokumentuj i utrzymuj plany działania, które umożliwiają ciągłe i niezakłócone świadczenie usługi oraz zapewniają poufność, integralność, dostępność i autentyczność informacji. Pamiętaj, że plany te powinny również obejmować odzyskiwanie danych po awarii i zarządzanie kryzysowe.
-
Bezpieczeństwo łańcucha dostaw:
- Zapewnij bezpieczeństwo i ciągłości łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi. Obejmuje to związki pomiędzy Twoją firmą a dostawcą sprzętu lub oprogramowania.
-
Bezpieczeństwo na etapie tworzenia, rozwijania i utrzymywania systemów:
- Wdrażaj system monitorowania w trybie ciągłym dla systemów informacyjnych wykorzystywanych do świadczenia usług.
- Wdrażaj polityki i procedury, które dotyczą ujawniania i obsługi luk w zabezpieczeniach.
-
Zasady i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa:
- Wdrażaj polityki i procedury oceny skuteczności środków technicznych i organizacyjnych stosowanych w zarządzaniu ryzykiem.
-
Podstawowe zasady bezpieczeństwa i szkoleń komputerowych:
- Zawiększaj świadomość pracowników z zakresu cyberbezpieczeństwa, w tym podstawowych zasad cyberhigieny.
-
Polityki dotyczące właściwego wykorzystania kryptografii i szyfrowania:
- Wdrażaj polityki i procedury, które dotyczą stosowania kryptografii, w tym szyfrowania.
-
Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami:
- Zapewniaj bezpieczeństwo fizyczne i środowiskowe, uwzględnij przy tym kontrolę dostępu.
- Wdrażaj polityki dotyczące zarządzania zasobami i kontroli dostępu.
-
Korzystanie z wieloskładnikowej, zabezpieczonej komunikacji głosowej/wideo/tekstowej i zabezpieczonej komunikacji awaryjnej:
- Stosuj bezpieczne środki komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, które uwzględniają uwierzytelnianie wieloskładnikowe.
- Stosuj mechanizmy, które zapewniają poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym.
- Regularnie przeprowadzaj aktualizację oprogramowania zgodnie z zaleceniami producenta. Uwzględniaj analizę wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji.
Weź pod uwagę, że wszystkie środki muszą:
- być proporcjonalne do ryzyka, rozmiaru, kosztu oraz wpływu i stopnia szkodliwości incydentów,
- uwzględniać najnowszy stan wiedzy, a – w stosownych przypadkach – także odpowiednie standardy europejskie i międzynarodowe.
Wykonanie i kary
NIS2 przewiduje jakie są minimalne kompetencje organów krajowych w zakresie egzekwowania przestrzegania przepisów. Organy krajowe:
- wydają ostrzeżenia za nieprzestrzeganie przepisów;
- wydają wiążące polecenia;
- nakazują zaniechać postępowanie, które narusza przepisy;
- nakazują, by w określonym terminie i w określony sposób podmioty zapewniły zgodność środków zarządzania ryzykiem lub wypełniły obowiązki zgłaszania incydentów;
- nakazują poinformować osoby fizyczne lub prawne, dla których są świadczone usługi, o poważnym zagrożeniu cybernetycznym, jakie może mieć wpływ na te usługi,
- nakazują wdrożyć – w rozsądnym terminie – zalecenia, które zostały wydane w wyniku audytu bezpieczeństwa,
- wyznaczają na określony czas urzędnika, który będzie monitorował realizację określonych działań,
- nakładają obowiązek podania do wiadomości publicznej informację o naruszeniu przepisów,
- nakładają kary administracyjne,
- zawieszają certyfikacje lub zezwolenia udzielone podmiotowi, jeśli termin na realizację działań nie został dotrzymany – dotyczy podmiotów kluczowych,
- tymczasowo pozbawiają osoby, które pełnią funkcje kierownicze, możliwości pełnienia swoich funkcji – dotyczy podmiotów kluczowych.
Kary administracyjne i obowiązki kierownictwa
NIS2 przewiduje, że za naruszenia, możesz otrzymać karę administracyjną:
Dla podmiotów kluczowych:
do 10.000.000 EUR lub do 2% całkowitego rocznego światowego obrotu uzyskanego w poprzednim roku obrotowym – w zależności od tego, która z tych wartości jest wyższa
Dla podmiotów ważnych:
do 7.000.000 EUR lub do 1,4% całkowitego rocznego światowego obrotu uzyskanego w poprzednim roku obrotowym – w zależności od tego, która z tych wartości jest wyższa
Obowiązki kierownictwa
Kierownictwo najwyższego stopnia w Twojej firmie odpowiada za to, aby zarządzać ryzykiem cyberbezpieczeństwa w kluczowych lub ważnych podmiotach. Jeśli kierownictwo nie będzie przestrzegać wymogów NIS2, może prowadzić to do poważnych konsekwencji – na przykład tymczasowych zakazów i kar administracyjnych, które są przewidziane w krajowych przepisach wykonawczych.
Osoby, które pełnią funkcje kierownicze w kluczowych lub ważnych podmiotach muszą:
- zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, które są stosowane przez podmiot,
- nadzorować wdrażanie środków zarządzania ryzykiem,
- uczestniczyć w szkoleniach w celu zdobycia wystarczającej wiedzy i umiejętności, w celu zidentyfikowania ryzyka i oceny praktyk zarządzania ryzykiem cyberbezpieczeństwa oraz ich wpływu na usługi świadczone przez podmiot,
- regularnie zapewniać podobne szkolenia swoim pracownikom,
- odpowiadać za nieprzestrzeganie przepisów.
Jak wdrożyć NIS2
1. Audyt NIS2
Przeprowadź kompleksową ocenę obecnego stanu bezpieczeństwa informacji w Twojej firmie. W ten sposób zidentyfikujesz, czy istnieją zagrożenia, podatności oraz zgodność z wymaganiami NIS2.
- Przegląd obecnych polityk, procedur i środków bezpieczeństwa.
- Identyfikacja krytycznych zasobów IT i potencjalnych luk w zabezpieczeniach.
- Ocena zgodności z aktualnymi przepisami i standardami cyberbezpieczeństwa.
2. Analiza ryzyka
Zidentyfikuj zagrożenia bezpieczeństwa informacji i ciągłości działalności, którą prowadzisz. Wdróż adekwatne środki bezpieczeństwa względem zagrożeń, które stwierdzisz. W ten sposób zminimalizujesz potencjalne szkody dla firmy, zapewnisz jej ciągłość działania oraz zwiększysz odporności na incydenty cybernetyczne.
- Określenie prawdopodobieństwa wystąpienia różnych rodzajów incydentów.
- Ocena potencjalnych skutków incydentów dla ciągłości działania firmy.
- Opracowanie planów zarządzania ryzykiem, które uwzględniają różne scenariusze zagrożeń.
3. Wdrożenie adekwatnych środków bezpieczeństwa
Wprowadź właściwe i proporcjonalne – do oszacowanego ryzyka – środki techniczne i organizacyjne. W ten sposób zabezpieczysz firmę przed incydentami cybernetycznymi.
- Implementacja mechanizmów kontroli dostępu i zabezpieczeń fizycznych.
- Wdrożenie środków monitorowania systemów informacyjnych w trybie ciągłym.
- Zabezpieczenie łańcucha dostaw ICT oraz regularne aktualizacje oprogramowania.
4. Opracowanie dokumentacji i procedur
Stwórz i wdróż dokumentację oraz procedury, które są zgodne z wymaganiami NIS2. W ten sposób będziesz wspierać zarządzanie bezpieczeństwem informacji w firmie.
- Opracowanie polityk bezpieczeństwa.
- Dokumentowanie procedur reagowania na incydenty oraz planów ciągłości działania.
- Dokumentowanie realizacji procedur określonych w dokumentacji.
5. Szkolenie zarządu i personelu
Zwiększaj świadomość oraz umiejętności personelu i zarządu w zakresie cyberbezpieczeństwa. W ten sposób będziesz skutecznie realizować polityki i procedury bezpieczeństwa.
- Regularne szkolenia z zakresu podstawowych zasad cyberhigieny oraz specyficznych obowiązków, które wynikają z NIS2.
- Organizacja szkoleń dla kierownictwa, które dotyczą zarządzania bezpieczeństwem informacji i zgodności z przepisami prawa.
- Zapewnienie, że wszyscy pracownicy są świadomi procedur reagowania na incydenty oraz znają swoje role i odpowiedzialności.
NASZA OFERTA
Wdrożenie NIS2
Zbuduj z nami odporność cyfrową
Podsumowanie
Dyrektywa NIS2 to kolejny milowy krok w dziedzinie poprawy cyberbezpieczeństwa oraz nowe wyzwanie dla świata biznesu i dla sektora publicznego. Nowe obowiązki obejmą dużą ilość firm i podmiotów publicznych. Wypełnienie tych obowiązków będzie obwarowane wysokimi karami i osobistą odpowiedzialnością kadry kierowniczej.
Kierunek wyznaczony przez Unię Europejską wydaje się słuszny i perspektywiczny. Bezpieczeństwo w dzisiejszym cyfrowym świecie jest kluczowe i jednocześnie bardzo poważnie zagrożone. Zgodnie ze starym chińskim przysłowiem: najlepszy moment, aby zasadzić drzewo, był 20 lat temu, a drugi najlepszy moment jest teraz. Dziś to najlepszy moment, by z pomocą wysoko wykwalifikowanych specjalistów zadbać o bezpieczną przyszłość swojej organizacji.