Dyrektywa NIS 2 – kogo dotyczy i jakie zmiany wprowadza?

Dyrektywa NIS 2, czyli rewizja pierwszego prawa dotyczącego cyberbezpieczeństwa państw członkowskich Unii Europejskiej (NIS), to odpowiedź na postępującą digitalizację i rosnące zagrożenie związane z atakami hakerskimi. Weszła w życie 16 stycznia 2023 roku i wprowadziła szereg istotnych zmian, na których implementację objęte nią podmioty mają czas do 17 października 2024 roku. Dowiedz się, kogo dotyczy NIS 2 i jakie nowe regulacje zostały w niej zawarte.

Dyrektywa NIS 2 – jakie zmiany wprowadza?

Dyrektywa NIS 2 została uchwalona w celu dalszego wzmacniania cyberbezpieczeństwa na terenie całej UE. Wprowadza nowe wytyczne bezpieczeństwa, które obejmą zarówno sektor publiczny, jak i prywatny. Przede wszystkim przewiduje rozszerzenie zakresu regulacji – od 17 października 2024 roku do jej przestrzegania zobowiązana będzie większa liczba jednostek niż dotychczas, które dzielić się będą na podmioty kluczowe oraz ważne. Zwiększa także wymagania dotyczące zgłaszania incydentów czy zagrożeń cybernetycznych oraz zakłada wyższe sankcje za ich naruszenie (https://www.sprinttech.pl/dyrektywa-nis-2/).

NIS 2 nakłada również nowe obowiązki na podmioty, w tym wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, tworzenie polityki bezpieczeństwa systemów czy też zabezpieczenie łańcucha dostaw. Nie określa ona jednak, w jaki sposób wymogi te mają być spełnione. Aby więc mieć pewność, że Twoja firma jest dostosowana do nowych standardów prawnych, warto skorzystać z usług specjalistów z zakresu cyberbezpieczeństwa (https://www.sprinttech.pl/).

Kogo obejmą regulacje prawne NIS 2?

Nowa dyrektywa NIS 2 znacznie rozszerza zakres jej obowiązywania, obejmując wszystkie firmy uznawane za średnie lub duże przedsiębiorstwa, które działają w sektorach gospodarki związanych z:

Energetyką,
Transportem,
Bankowością,
Infrastrukturą rynków finansowych,
Opieką zdrowotną,
Wodą pitną,
Ściekami,
Infrastrukturą cyfrową,
Zarządzaniem usługami ICT,
Administracją publiczną,
Przestrzenią kosmiczną,
Usługami pocztowymi i kurierskimi,
Produkcją żywności i napojów,
Produkcją chemiczną,
Produkcją (szeroko pojętą),
Zarządzaniem i gospodarką odpadami,
Dostawą usług cyfrowych,
Badaniami naukowymi.

Co ważne, zapisy dyrektywy obowiązują również niektóre małe i mikroprzedsiębiorstwa, które są dostawcami usług zaufania, usług DNS (z wyłączeniem operatorów głównych serwerów nazw), prowadzą rejestry nazw TLD, są podmiotami administracji publicznej na szczeblu centralnym oraz podmiotami krytycznymi wg dyrektywy CER.

Jak przygotować się do wdrożenia NIS 2?

Implementacja wymagań określonych w NIS 2 jest procesem złożonym, który wymaga dużej wiedzy z zakresu cyberbezpieczeństwa. Ich wdrożenie powinno być poprzedzone przeprowadzeniem audytu systemu informacyjnego przez doświadczoną firmę. Pozwoli to na określenie poziomu zabezpieczeń oraz na znalezienie obszarów wymagających poprawy. Pomóc w tym może firma SprintTech, której specjaliści zajmują się nie tylko badaniem zgodności z wymaganiami dyrektywy NIS, ale także realizowaniem pentestów (https://www.sprinttech.pl/pentesty/pentesty-webaplikacji/), testów socjotechnicznych oraz świadczeniem usług SOC!