Cyber Monday — dyrektywa NIS2, co nas czeka?
Mamy kolejny #cybermonday, 1 dzień tygodnia wg normy ISO-8061. W związku z tym przychodzę do Was z kolejną dawką wiedzy, w ramach inicjatywy 2BeAware.
Dzisiaj będę mało oryginalny. W mojej publikacji przeczytasz o dyrektywie NIS2.
Postanowiłem więc zebrać najważniejsze informacje na temat samej dyrektywy i wzbogacić ją dodatkowo na końcu o konkretne i sprawdzone linki, które osobiście polecam.
CZYM NIS2 JEST?
NIS2 (Network and Information Security) to następca wprowadzonej w 2016 roku przez Unię Europejską dyrektywy NIS1.
Czym jest dyrektywa?.
Dyrektywa jest aktem ustawodawczym wyznaczającym cel, który muszą osiągnąć kraje UE. Sposób jego osiągnięcia określają jednak poszczególne kraje za pośrednictwem swoich własnych aktów prawnych.
To właśnie UKSC (Ustawa o krajowym systemie cyberbezpieczeństwa) będzie nam definiowała konkretne wymogi, jakie spełnić będą musiały podmioty, których będzie to dotyczyć.
Czego dokładnie dotyczy dyrektywa NIS2.
Zwiększenia ochrony i odporności przed cyberzagrożeniami firm oraz organizacji w krajach UE;
Zwiększenia ochrony i odporności przed cyberzagrożeniami nas samych;
Podniesienie świadomości oraz zwiększenia umiejętności reagowania na kryzysy związane z cyberbezpieczeństwem oraz odbudowy po nich.
JAKIE OBSZARY OBEJMUJE:
- polityki dotyczące analizy ryzyka i bezpieczeństwa systemu informacyjnego;
- obsługa incydentów;
- ciągłość działania, np. zarządzanie kopiami zapasowymi i odzyskiwanie po awarii oraz zarządzanie kryzysowe;
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji pomiędzy każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwo nabywania, rozwoju i konserwacji sieci i systemów informatycznych, w tym obsługa luk w zabezpieczeniach i ich ujawnianie;
- polityki i procedury oceny skuteczności środków zarządzania ryzykiem cybernetycznym;
- podstawowe praktyki higieny cybernetycznej i szkolenia w zakresie cyberbezpieczeństwa;
- zasady i procedury dotyczące stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania;
- bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami;
- stosowanie w ramach podmiotu rozwiązań w zakresie uwierzytelniania wielopoziomowego lub ciągłego uwierzytelniania, zabezpieczonej komunikacji głosowej, wideo i tekstowej oraz zabezpieczonych systemów komunikacji awaryjnej w obrębie podmiotu, w stosownych przypadkach.
WAŻNE DATY
6 lipiec 2016 – wprowadzenie dyrektywy NIS1
27 grudzień 2022 – publikacja dyrektywy NIS2 w Dzienniku Urzędowym UE
18 październik 2024 – wejście w życie NIS2, do tego czasu nasz ustawodawca musi dokonać transpozycji do krajowego prawa czyli ustawy o krajowym systemie cyberbezpieczeństwa
Od ostatniej daty nastąpi okres przejściowy, z różnych źródeł wynika że może on trwać od 6 do 18 miesięcy.
PODMIOT KLUCZOWY I PODMIOT WAŻNY
Podmiot kluczowy
250 pracowników i roczny obrót > 50 mln EUR
- Energetyka (energia elektryczna, ropa, gaz, wodór, centralne ogrzewanie i chłodzenie);
- Bankowość;
- Infrastruktura rynków finansowych;
- Opieka zdrowotna;
- Woda pitna;
- Ścieki;
- Administracja publiczna;
- Przestrzeń kosmiczna;
- Transport (powietrzny, lądowy, kolejowy, wodny);
- Zarządzanie usługami ICT;
- Infrastruktura cyfrowa (centra danych, dostawcy usług DNS, dostawcy usług chmurowych, usługi łączności elektronicznej).
Podmiot ważny
50 pracowników i roczny obrót > 10 mln EUR:
- Produkcja (medyczne, produkty komputerowe, produkty elektroniczne i optyczne, sprzęt elektryczny, maszyny i wyposażenie, pojazdy samochodowe, przyczepy i naczepy, inny sprzęt transportowy);
- Usługi pocztowe i kurierskie;
- Gospodarowanie odpadami;
- Produkcja, wytwarzanie i dystrybucja;
- Produkcja, przetwarzanie i dystrybucja;
- Badania naukowe;
- Dostawcy cyfrowi (wyszukiwarki sieciowe, platformy e-commerce, platformy sieci społecznościowych).
KARY
Podmiot kluczowy:
Co najmniej 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
Podmiot ważny:
Co najmniej 7 000 000 EUR lub 1,4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa.
PROLOG
Podsumowując, pracy jest sporo a czasu coraz mniej. Gorąco zachęcam do zgłębienia tematu dyrektywy NIS2 i projektu ustawy KSC.
Niech ta publikacja będzie pierwszym krokiem w budowaniu świadomości bezpiecznego jutra.
Poniżej znajdziecie kilka przydatnych linków. Szczególnie polecam cykl webinarów prowadzonych przez Tomasz Matula we współpracy z firmą Trecom .
NIS2 – Trecom z udziałem Tomasza Matuły
