Dyrektywa NIS2, która zaczęła obowiązywać w Polsce od października 2024 roku, wprowadza szereg obowiązków w zakresie cyberbezpieczeństwa dla firm uznanych za podmioty kluczowe i ważne. Jeśli Twoja organizacja znajduje się w tym gronie, warto dokładnie poznać nowe regulacje i przygotować się na ich wdrożenie.

W artykule wyjaśniamy, co dokładnie oznacza NIS2 dla firm oraz jakie działania należy podjąć, aby uniknąć ryzyka sankcji i zabezpieczyć swoją działalność.

Jakie obowiązki nakłada dyrektywa NIS2?

Nowe przepisy skupiają się na dwóch głównych obszarach:

• zarządzaniu ryzykiem w zakresie cyberbezpieczeństwa,

• obowiązku zgłaszania incydentów bezpieczeństwa.

Poniżej opisujemy szczegółowo, co te wymagania oznaczają w praktyce.

Zarządzanie ryzykiem – co musisz wdrożyć?

Zgodnie z NIS2, każda organizacja objęta dyrektywą musi posiadać skuteczny system zarządzania ryzykiem w obszarze IT. Wymagane są m.in.:

• polityki oceny ryzyka i bezpieczeństwa systemów informatycznych,

• procedury reagowania na incydenty i zarządzania kryzysowego,

• środki zapewniające ciągłość działania,

• kontrola bezpieczeństwa w łańcuchu dostaw,

• standardy bezpieczeństwa w procesach zakupu, rozwoju i utrzymania systemów IT,

• mechanizmy wykrywania i zgłaszania podatności,

• regularne testy skuteczności wdrożonych środków,

• szkolenia z zakresu cyberbezpieczeństwa i praktyk cyberhigieny,

• stosowanie kryptografii i szyfrowania tam, gdzie to uzasadnione,

• polityki kontroli dostępu i bezpiecznej komunikacji, także w sytuacjach kryzysowych.

Dodatkowo, Komisja Europejska planuje opublikować akty wykonawcze, które doprecyzują wymagania techniczne dla wybranych sektorów, takich jak dostawcy usług chmurowych, DNS czy rejestratorzy domen.

Zgłaszanie incydentów – na czym polega obowiązek?

Podmioty objęte dyrektywą są zobowiązane do zgłaszania incydentów cyberbezpieczeństwa, które:

• zakłócają świadczenie usług,

• powodują istotne straty finansowe,

• mogą narazić inne podmioty (osoby fizyczne lub prawne) na szkodę.

Harmonogram zgłoszeń:

• do 24 godzin – zgłoszenie wstępne (tzw. wczesne ostrzeżenie) z informacją o potencjalnych przyczynach i możliwym wpływie międzynarodowym,

• do 72 godzin – zgłoszenie główne zawierające wstępną ocenę skutków,

• do 30 dni – raport końcowy z podsumowaniem incydentu i działań naprawczych.

Dodatkowo:

• w przypadku incydentów mających wpływ na klientów, konieczne jest ich niezwłoczne poinformowanie,

• należy przekazać użytkownikom zalecenia dotyczące ochrony przed skutkami incydentu,

• jeśli incydent może mieć wpływ transgraniczny, wymagane jest zgłoszenie także do odpowiednich instytucji zagranicznych,

• dostawcy usług zaufania (np. e-podpisów) muszą zgłaszać incydenty w ciągu 24 godzin.

Organizacje mogą również dobrowolnie zgłaszać incydenty mniejszej wagi, co stanowi dobrą praktykę budowania odpowiedzialnego podejścia do cyberbezpieczeństwa.

Co powinieneś zrobić teraz? [Lista kontrolna]

1. Zweryfikuj, czy Twoja organizacja podlega przepisom dyrektywy NIS2.

2. Oceń poziom zgodności z wymaganiami w zakresie zarządzania ryzykiem i raportowania incydentów.

3. Opracuj lub zaktualizuj polityki i procedury bezpieczeństwa.

4. Przeszkol pracowników – zarówno technicznie, jak i operacyjnie.

Potrzebujesz wsparcia?

Eksperci Cyberforces pomogą Ci przygotować organizację do zgodności z dyrektywą NIS2:

• przeprowadzimy audyt gotowości,

• opracujemy wymagane polityki i procedury,

• przygotujemy Twój zespół do reagowania na incydenty,

• zapewnimy doradztwo w zakresie wymagań branżowych i technicznych.

Skontaktuj się z nami, aby dowiedzieć się, jak możemy pomóc Twojej firmie dostosować się do nowych obowiązków i zwiększyć odporność na zagrożenia cyfrowe.