top of page

Dyrektywa NIS2

Czym jest i kogo dotyczy?

Czym jest NIS2?

image.png

NIS2

NIS2 (Network and Information Systems Directive 2) to dyrektywa Unii Europejskiej, której głównym celem jest zwiększenie ogólnego poziomu cyberodporności w państwach członkowskich. Ma ona zapewnić, że kluczowe usługi dla gospodarki i społeczeństwa będą lepiej chronione przed cyberzagrożeniami.

W Polsce przepisy NIS2 zostaną wdrożone poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Dyrektywa skupia się na zarządzaniu ryzykiem, zgłaszaniu incydentów, ciągłości działania oraz bezpieczeństwie łańcucha dostaw.

Kogo dotyczy?

W porównaniu do swojej poprzedniczki, dyrektywa NIS2 znacząco rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Klasyfikuje je do dwóch głównych kategorii, na Podmioty Kluczowe i Ważne, które różnią się m.in. poziomem nadzoru i potencjalnymi sankcjami.

Podmioty Kluczowe

thunderbolt_3103468.png

Energetyka

global-network_2801162.png

Zarządzanie usługami ICT

water-tap_17855404.png

Woda pitna i ścieki

bank_15443485.png

Banki i insytucje finansowe

governance_11152631.png

Administracja publiczna

transportations_10981538.png

Transport​

pulse_6207338.png

Zdrowie

digitalization_9017111.png

Infrastruktura cyfrowa

development_1646338.png

Przestrzeń kosmiczna

Podmioty Ważne

delivery-truck_4503302.png
garbage-bin_6593453.png

Usługi pocztowe i kurierskie

Gospodarowanie odpadami

science_14443132_edited.png

Badania naukowe

chemical_7862851.png

Produkcja chemikaliów

track_1350147.png

Dostawcy usług cyfrowych

apple_15973317.png

Produkcja żywności

automation_18666457.png

Produkcja

Kryteria wielkości firmy

NIS2 obejmuje podmioty średnie i duże, działające w wymienionych sektorach. Zgodnie z definicjami UE:

Średnie przedsiębiorstwo

50-249 pracowników i poniżej 50 mln EUR obrotu rocznie
LUB
poniżej 43 mln EUR sumy bilansowanej

Duże 
przedsiębiorstwo

250+ pracowników i powyżej  50 mln EUR obrotu rocznie
LUB
powyżej 43 mln EUR sumy bilansowanej

Istnieją ważne wyjątki, gdzie podmioty podlegają pod NIS2 niezależnie od swojej wielkości.
Dotyczy to m.in.:

 

  • Dostawców publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej.

  • Dostawców usług zaufania (kwalifikowanych i niekwalifikowanych).

  • Rejestrów nazw TLD (domen najwyższego poziomu) oraz dostawców usług DNS.

  • Wybranych podmiotów administracji publicznej.

  • Podmiotów będących jedynym dostawcą danej usługi kluczowej w państwie członkowskim.

  • Podmiotów, których zakłócenie działalności mogłoby mieć znaczący wpływ na bezpieczeństwo publiczne, porządek publiczny lub zdrowie publiczne.

  • Podmiotów uznanych za infrastrukturę krytyczną.

Kary za nieprzestrzeganie obowiązków

Podmioty Kluczowe

Kary maksymalne:
10 000 000 EUR
lub
2% rocznego obrotu

Podmioty Ważne

Kary maksymalne:
7 000 000 EUR
lub
1.4% rocznego obrotu

Oprócz kar finansowych, organy nadzorcze mogą stosować inne środki, takie jak wydawanie wiążących zaleceń, nakładanie audytów czy nawet tymczasowe zawieszanie certyfikacji lub zezwoleń oraz zakazy pełnienia funkcji kierowniczych dla osób odpowiedzialnych za naruszenia.

Wymagania NIS2 w praktyce

NIS2 nakłada na objęte nią podmioty konkretne obowiązki zarządcze i techniczne. W praktyce oznacza to konieczność wdrożenia lub wzmocnienia procesów w następujących obszarach.

Organizacje muszą wdrożyć formalny, udokumentowany i powtarzalny proces zarządzania ryzykiem związanym z ich systemami sieciowymi i informatycznymi. Nie wystarczy reagować na problemy - trzeba proaktywnie identyfikować potencjalne zagrożenia (np. malware, ataki phishingowe, błędy ludzkie, awarie sprzętu), oceniać prawdopodobieństwo ich wystąpienia i potencjalne skutki (finansowe, operacyjne, reputacyjne).
 

Wymaga to stworzenia rejestru ryzyk, regularnych analiz ryzyka, wyboru i wdrożenia odpowiednich środków bezpieczeństwa (zarówno technicznych, jak np. firewalle, systemy antywirusowe, szyfrowanie, jak i organizacyjnych, np. polityki bezpieczeństwa, procedury zarządzania dostępem). Niezbędne jest również monitorowanie skuteczności tych środków i cykliczne przeglądy całego procesu. Szczególną uwagę należy zwrócić na ryzyko związane z dostawcami.

Jak BCMLogic One może pomóc w dostosowaniu się do NIS2?

Wdrożenie kompleksowych wymagań NIS2 może być wyzwaniem, zwłaszcza dla organizacji, które do tej pory zarządzały tymi procesami w sposób rozproszony. Zintegrowana platforma GRC, taka jak BCMLogic One, dostarcza narzędzi, które wspierają organizacje w spełnianiu kluczowych obowiązków NIS2 w jednym, spójnym środowisku.
Zarządzanie Ryzykiem

Moduł Zarządzania Ryzykiem w aplikacji BCMLogic ONE umożliwia stworzenie centralnego rejestru ryzyk ICT, powiązanie ich z konkretnymi systemami, usługami i procesami. Platforma wspiera systematyczną ocenę ryzyka (inherentnego i rezydualnego) zgodnie z wybraną metodyką, dokumentowanie istniejących zabezpieczeń oraz tworzenie i monitorowanie Planów Postępowania z Ryzykiem (mitygacji) za pomocą workflow. Funkcjonalność KRI pozwala na bieżące monitorowanie poziomu zagrożeń.

Obsługa Incydentów

Moduł Zarządzania Incydentami zapewnia centralny rejestr do ewidencji wszystkich incydentów bezpieczeństwa. Ułatwia ich kategoryzację, priorytetyzację i powiązanie z zasobami ICT. Moduł wspiera definiowanie planów reakcji (playbooków), zarządzanie zadaniami zespołu reagowania oraz automatyzację komunikacji i eskalacji. Funkcjonalności raportowe i ścieżka audytu ułatwiają przygotowanie wymaganych zgłoszeń do CSIRT w terminach 24h/72h oraz analizę przyczyn źródłowych (RCA).

Bezpieczeństwo Łańcucha Dostaw

Moduł Zarządzania Dostawcami i Moduł Ankietowania i Audytu ułatwia prowadzenie rejestru dostawców ICT, zarządzanie powiązanymi umowami i warunkami SLA. Kluczową funkcją jest wsparcie procesu oceny ryzyka dostawców, np. poprzez wysyłkę i analizę ankiet bezpieczeństwa. Wyniki oceny i status zgodności dostawcy są powiązane z jego kartą w systemie, co wspiera podejmowanie decyzji i monitorowanie ryzyka w łańcuchu dostaw.

Ciągłość Działania

Umożliwia przeprowadzenie Analizy Wpływu na Biznes (BIA) z uwzględnieniem zależności od systemów i usług ICT, co pozwala zidentyfikować krytyczne zasoby cyfrowe. Moduł wspiera tworzenie, zarządzanie (wersjonowanie, workflow akceptacji) i udostępnianie planów ciągłości działania (BCM) oraz planów odtwarzania po awarii (Disaster Recovery) specyficznych dla incydentów cybernetycznych. Funkcjonalność Testowania pozwala na planowanie i dokumentowanie regularnych testów tych planów.

Chcesz dowiedzieć się więcej o tym, jak BCMLogic One może pomóc Twojej organizacji przygotować się na NIS2? Skontaktuj się z nami!

O NAS

BCMLogic Solutions to firma tworząca rozwiązania IT wspierające procesy zarządzania ryzykiem, bezpieczeństwem oraz ciągłością działania biznesu.

  • LinkedIn
  • Youtube

POLITYKA PRYWATNOŚCI

KONTAKT

biuro@bcmlogic.com

+48 504 142 205

BCMLogic Solutions sp. z o.o. Jerozolimskie 123a 02-017 Warszawa, Polska

BLOG

KARIERA

bottom of page