Szczegółowe informacje o NIS2

1. Cele dyrektywy NIS2

• Zwiększenie poziomu bezpieczeństwa: NIS2 ma na celu zwiększenie odporności na cyberzagrożenia w Europie poprzez wprowadzenie rygorystycznych standardów bezpieczeństwa dla kluczowych sektorów.
• Ochrona infrastruktury krytycznej: Dyrektywa kładzie nacisk na ochronę sektorów uznawanych za krytyczne dla funkcjonowania państwa i gospodarki.
• Wzmocnienie współpracy: NIS2 promuje współpracę między państwami członkowskimi oraz między sektorem publicznym a prywatnym, co ma na celu lepszą wymianę informacji i reagowanie na incydenty.

2. Kluczowe zmiany w porównaniu do NIS1

• Rozszerzenie zakresu stosowania: W NIS2 zostały dodane nowe sektory i podmioty, które wcześniej nie były objęte regulacjami. W szczególności dotyczy to dostawców usług cyfrowych (np. platformy e-commerce, dostawcy usług chmurowych).
• Podziały na „podmioty krytyczne” i „ważne”:
  • Podmioty krytyczne: Mają największy wpływ na bezpieczeństwo i funkcjonowanie społeczeństwa (np. szpitale, dostawcy energii).
  • Podmioty ważne: Mniej krytyczne, ale nadal istotne dla gospodarki (np. duże firmy dostarczające usługi cyfrowe).

3. Zarządzanie ryzykiem

• Ocena ryzyka: Organizacje muszą przeprowadzać regularne analizy ryzyka i wprowadzać środki zaradcze na podstawie wyników tych ocen.
• Zarządzanie incydentami: Wymagana jest implementacja systemów do szybkiego reagowania na incydenty cybernetyczne oraz dokumentacja wszystkich działań podejmowanych w odpowiedzi na te incydenty.

4. Obowiązki dotyczące raportowania

• Zgłaszanie incydentów: Firmy muszą zgłaszać istotne incydenty cybernetyczne odpowiednim organom krajowym w ciągu 24 godzin od ich wykrycia. Mniejsze incydenty mogą być zgłaszane w bardziej elastycznym czasie.
• Dokumentacja: Wszelkie incydenty i działania związane z nimi muszą być dokładnie dokumentowane i analizowane w celu poprawy procesów zarządzania ryzykiem.

5. Wzmocniona odpowiedzialność zarządów

• Szkolenia i świadomość: Kadry kierownicze muszą uczestniczyć w szkoleniach dotyczących cyberbezpieczeństwa oraz zrozumieć ryzyka związane z działaniami organizacji.
• Odpowiedzialność prawna: Zarządy będą odpowiadać za niedopełnienie obowiązków w zakresie cyberbezpieczeństwa, co może prowadzić do konsekwencji prawnych i finansowych.

6. Współpraca między państwami członkowskimi

• Grupy współpracy: NIS2 przewiduje utworzenie grup współpracy w celu wymiany najlepszych praktyk, informacji o zagrożeniach oraz wspólnego reagowania na incydenty.
• Wspólne ćwiczenia: Organizacja wspólnych ćwiczeń dotyczących cyberbezpieczeństwa między państwami członkowskimi, aby przygotować się na potencjalne zagrożenia.

7. Sankcje za niedopełnienie obowiązków

• Kary finansowe: W przypadku naruszeń przepisów NIS2 państwa członkowskie mogą nałożyć kary finansowe, które mogą wynosić do 10 milionów euro lub 2% rocznych przychodów globalnych firmy, w zależności od tego, która z tych wartości jest wyższa.
• Inne środki egzekucyjne: Oprócz kar finansowych, mogą być również inne środki, takie jak publiczne ostrzeżenia czy nakaz wprowadzenia działań naprawczych.

8. Sektory objęte dyrektywą NIS2

• Transport: W tym sektorze uwzględniono zarówno transport publiczny, jak i prywatny, w tym lotnictwo, kolej i transport morski.
• Usługi zdrowotne: Szpitale, kliniki, dostawcy usług zdrowotnych muszą przestrzegać standardów bezpieczeństwa.
• Infrastruktura energetyczna: W tym sektorze uwzględnione są dostawcy energii elektrycznej, gazu, a także odnawialnych źródeł energii.
• Usługi cyfrowe: Wszelkie platformy internetowe, sklepy online, dostawcy chmur, oraz inne usługi cyfrowe.