Przedsiębiorstwa w Europie muszą przystosować się do nowych regulacji związanych z dyrektywą NIS 2. Ten kluczowy akt prawny wprowadza kompleksowe wymagania dotyczące cyberbezpieczeństwa. Od 18 października 2024 roku organizacje będą zobowiązane do przestrzegania nowych przepisów, dlatego konieczne jest natychmiastowe rozpoczęcie przygotowań.
Na czym polega dyrektywa NIS 2?
Dyrektywa (UE) 2022/2555, znana jako NIS 2, wprowadza nowe standardy cyberbezpieczeństwa w Unii Europejskiej. Nakłada ona obowiązek stosowania protokołów bezpieczeństwa, zgłaszania incydentów oraz wdrożenia procedur oceny ryzyka dla firm działających w UE.
Nowe przepisy uzupełniają braki poprzedniej dyrektywy NIS, szczególnie w obszarze współczesnych zagrożeń cyfrowych. NIS 2 usprawnia wymianę informacji między państwami członkowskimi i ujednolica sposób reagowania na zagrożenia.
Firmy muszą wprowadzić konkretne zabezpieczenia, obejmujące zasady bezpieczeństwa informacji, procedury obsługi incydentów oraz plany ciągłości działania. Szczególną uwagę poświęcono bezpieczeństwu w relacjach z dostawcami, co wymaga stałej weryfikacji partnerów biznesowych.
Zobacz także: DORA - jak wypada w porównaniu z NIS 2?
Kogo dotyczą nowe przepisy?
O objęciu regulacją decyduje wielkość organizacji i jej sektor działalności. Przedsiębiorstwa zatrudniające ponad 250 osób, z rocznym obrotem przekraczającym 50 mln euro, muszą dostosować się do przepisów. Dotyczy to również firm zatrudniających 50-250 pracowników i osiągających przychód 10-50 mln euro.
Podmioty dzielą się na dwie kategorie: 'podstawowe' i 'ważne', zależnie od ich znaczenia dla gospodarki i społeczeństwa. Podmioty podstawowe podlegają ściślejszemu nadzorowi i wyższym karom. Zarząd ponosi bezpośrednią odpowiedzialność za wdrożenie zabezpieczeń, włącznie z odpowiedzialnością osobistą.
Firmy międzynarodowe muszą uwzględnić różnice w interpretacji dyrektywy przez poszczególne kraje UE. Mimo dążenia do ujednolicenia przepisów, państwa członkowskie zachowują pewną swobodę we wdrażaniu wymogów.
Najważniejsze zmiany
Nowa dyrektywa znacząco modyfikuje dotychczasowe przepisy. Wprowadza nowy podział podmiotów, lepiej odpowiadający obecnym realiom biznesowym.
Znacznie zaostrzono kary. Podmioty podstawowe mogą zapłacić do 10 mln euro lub 2% globalnych przychodów, a podmioty ważne do 7 mln euro lub 1,4% przychodów. Incydenty wymagają zgłoszenia w ciągu doby i pełnego raportu w ciągu 72 godzin.
Wymogi bezpieczeństwa muszą odpowiadać aktualnemu poziomowi technologii i skali ryzyka. Szczególną wagę przywiązuje się do nadzoru nad dostawcami i partnerami zewnętrznymi.
Rozszerzenie zakresu
Dyrektywa obejmuje teraz osiemnaście sektorów, w porównaniu z poprzednimi siedmioma. Do listy dodano branżę spożywczą, usługi pocztowe, przemysł chemiczny i dostawców usług informatycznych. To rozszerzenie odzwierciedla rosnące znaczenie technologii w gospodarce.
Szczególną uwagę poświęcono dostawcom infrastruktury technologicznej. Przepisy objęły również sektor produkcyjny, o ile spełnia kryteria wielkości. Instytucje publiczne podlegają regulacjom niezależnie od rozmiaru.
Wymagania dotyczą również firm współpracujących z podmiotami regulowanymi. Tworzy to efekt domina w całym łańcuchu dostaw, zapewniając kompleksowe podejście do bezpieczeństwa.
Podsumowanie
Dyrektywa NIS 2 fundamentalnie zmienia podejście do cyberbezpieczeństwa w Europie. Organizacje mają czas do października 2024 na dostosowanie się do nowych wymogów. Skuteczne wdrożenie wymaga zmian technicznych, organizacyjnych oraz szkoleń pracowników. Ze względu na złożoność wymagań, przygotowania należy rozpocząć jak najszybciej.
Comments