NIS2 - nowe obowiązki cyberbezpieczeństwa dla firm
Dyrektywa NIS2 wprowadza nowe wymagania cyberbezpieczeństwa. Kogo dotyczy, jakie są obowiązki i jak się przygotować?
Czym jest dyrektywa NIS2?
NIS2 (Network and Information Security Directive 2) to unijna dyrektywa rozszerzająca wymagania cyberbezpieczeństwa dla firm i instytucji. Zastępuje poprzednią dyrektywę NIS z 2016 roku, znacząco zwiększając jej zakres.
Kogo dotyczy NIS2?
Podmioty kluczowe
Firmy z sektorów krytycznych:
- Energetyka
- Transport
- Bankowość i finanse
- Zdrowie
- Woda pitna i ścieki
- Infrastruktura cyfrowa
- Administracja publiczna
- Przestrzeń kosmiczna
Podmioty ważne
Firmy z sektorów:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja chemiczna
- Produkcja żywności
- Produkcja urządzeń medycznych
- Elektronika i maszyny
- Pojazdy mechaniczne
- Dostawcy usług cyfrowych
Kryterium wielkości
NIS2 obejmuje:
- Duże firmy - powyżej 250 pracowników lub obrót > 50 mln EUR
- Średnie firmy - 50-250 pracowników lub obrót 10-50 mln EUR
Małe firmy są zasadniczo wyłączone, ale są wyjątki dla podmiotów o szczególnym znaczeniu.
Główne obowiązki
1. Zarządzanie ryzykiem cyberbezpieczeństwa
Firmy muszą wdrożyć środki zarządzania ryzykiem obejmujące:
- Polityki bezpieczeństwa - dokumentacja, procedury
- Obsługę incydentów - wykrywanie, reagowanie, raportowanie
- Ciągłość działania - backup, disaster recovery
- Bezpieczeństwo łańcucha dostaw - weryfikacja dostawców
- Bezpieczeństwo sieci - kontrola dostępu, szyfrowanie
- Szkolenia pracowników - świadomość cyberbezpieczeństwa
- Kryptografię - szyfrowanie danych
- Zarządzanie zasobami - inwentaryzacja, kontrola
2. Raportowanie incydentów
Obowiązek zgłaszania poważnych incydentów:
| Termin | Wymaganie |
|---|---|
| 24 godziny | Wstępne powiadomienie o incydencie |
| 72 godziny | Szczegółowy raport z oceną |
| 1 miesiąc | Raport końcowy z wnioskami |
3. Odpowiedzialność zarządu
Nowość w NIS2 - osobista odpowiedzialność kadry zarządzającej:
- Zarząd musi zatwierdzać środki bezpieczeństwa
- Obowiązkowe szkolenia dla zarządu
- Możliwość kar dla osób zarządzających
4. Bezpieczeństwo łańcucha dostaw
Musisz weryfikować cyberbezpieczeństwo swoich dostawców i podwykonawców. Dotyczy to szczególnie dostawców usług IT.
Kary za nieprzestrzeganie
NIS2 wprowadza surowe sankcje:
Podmioty kluczowe
- Do 10 mln EUR lub 2% rocznego obrotu (wyższa kwota)
- Możliwość tymczasowego zawieszenia certyfikatów
- Zakaz pełnienia funkcji zarządczych
Podmioty ważne
- Do 7 mln EUR lub 1,4% rocznego obrotu
Jak się przygotować?
Krok 1: Ocena zakresu
Sprawdź czy Twoja firma podlega NIS2:
- W jakim sektorze działasz?
- Ile masz pracowników?
- Jaki jest Twój obrót?
Krok 2: Analiza luk (Gap Analysis)
Porównaj obecne zabezpieczenia z wymaganiami NIS2:
- Jakie polityki już masz?
- Czy masz procedurę obsługi incydentów?
- Jak wygląda backup i disaster recovery?
- Czy szkolisz pracowników?
Krok 3: Plan wdrożenia
Na podstawie analizy luk:
- Określ priorytety
- Przydziel zasoby
- Ustal harmonogram
- Wyznacz odpowiedzialnych
Krok 4: Wdrożenie środków technicznych
- Firewall Next-Gen z IPS/IDS
- EDR/XDR na stacjach roboczych
- SIEM do monitoringu bezpieczeństwa
- Backup z testowanym odtwarzaniem
- Szyfrowanie danych
Krok 5: Wdrożenie środków organizacyjnych
- Polityka bezpieczeństwa informacji
- Procedura obsługi incydentów
- Plan ciągłości działania
- Program szkoleń
- Audyty bezpieczeństwa
Krok 6: Ciągłe doskonalenie
NIS2 to nie jednorazowy projekt. Wymaga:
- Regularnych przeglądów
- Aktualizacji procedur
- Testowania zabezpieczeń
- Szkoleń pracowników
Checklista NIS2
- Określono czy firma podlega NIS2
- Wyznaczono osobę odpowiedzialną za cyberbezpieczeństwo
- Przeprowadzono analizę ryzyka
- Wdrożono politykę bezpieczeństwa
- Opracowano procedurę obsługi incydentów
- Wdrożono zabezpieczenia techniczne (firewall, EDR, backup)
- Zweryfikowano dostawców pod kątem cyberbezpieczeństwa
- Przeszkolono pracowników i zarząd
- Opracowano plan ciągłości działania
- Przetestowano procedury i zabezpieczenia
Podsumowanie
NIS2 to znaczące rozszerzenie obowiązków cyberbezpieczeństwa dla wielu firm. Nieprzestrzeganie grozi wysokimi karami i osobistą odpowiedzialnością zarządu.
Kluczowe działania:
- Sprawdź czy NIS2 Cię dotyczy
- Przeprowadź analizę luk
- Zaplanuj i wdróż niezbędne środki
- Dokumentuj wszystko
- Szkolenie, szkolenie, szkolenie
Potrzebujesz wsparcia? Pomożemy ocenić Twoją sytuację względem NIS2 i wdrożyć wymagane środki bezpieczeństwa. Skontaktuj się z nami!
Powiązane artykuły
Jak zabezpieczyć firmę przed cyberatakami?
Poznaj najważniejsze zagrożenia cybernetyczne i sprawdzone metody ochrony Twojej firmy. Praktyczny przewodnik dla małych i średnich przedsiębiorstw.
Czytaj więcejRansomware - co robić gdy zaszyfrowano Twoje dane?
Krok po kroku jak reagować na atak ransomware. Co robić, czego unikać i jak odzyskać dane bez płacenia okupu.
Czytaj więcejPhishing - jak rozpoznać fałszywe maile i SMS-y
Naucz się rozpoznawać phishing - fałszywe wiadomości podszywające się pod banki, firmy kurierskie czy urzędy. Praktyczne przykłady i porady.
Czytaj więcej