NIS2 – Regulacja na rzecz bezpieczniejszej przyszłości
NIS2 to tak zwana ogólnounijna dyrektywa w sprawie cyberbezpieczeństwa, która weszła w życie w październiku 2024 roku. W porównaniu do NIS1, NIS2 wprowadza znaczące zmiany, które nałożą również bardziej rygorystyczne obowiązki w zakresie cyberbezpieczeństwa na większą liczbę organizacji. Państwa członkowskie będą zobowiązane do przyjęcia nowych przepisów zawierających te bardziej rygorystyczne środki kontroli i egzekwowania w celu zapewnienia zgodności z dyrektywą. NIS2 zastępuje dyrektywę NIS1, co skutkuje kilkoma istotnymi różnicami w porównaniu z NIS1: NIS2 rozszerza zakres na większe podmioty, takie jak producenci chemikaliów i wyrobów medycznych, producenci żywności i dostawcy sieci społecznościowych, które wcześniej nie były objęte NIS1. NIS2 zastępuje rozróżnienie między „operatorem usług kluczowych” a „dostawcą usług cyfrowych” na „podmioty kluczowe” i „podmioty krytyczne” w oparciu m.in. o wielkość i sektor. Chociaż oba podmioty mają podobne obowiązki, kluczowe podmioty podlegają bardziej rygorystycznym środkom egzekwowania i kontroli. Organ nadzorujący sektor musi być odpowiedzialny za środki kontroli.
NIS2 nakłada nowe obowiązki w zakresie cyberbezpieczeństwa na podmioty „kluczowe” i „krytyczne”, w tym zarządzanie ryzykiem i łańcuchem dostaw, zgłaszanie incydentów cybernetycznych i wymianę informacji. Zgodność z tymi wymogami będzie wymagać od podmiotów objętych ich zakresem opracowania i wdrożenia nowych polityk i procedur. NIS2 wymaga od państw członkowskich UE ulepszenia krajowych strategii cyberbezpieczeństwa i reagowania na napotykane zagrożenia cyfrowe. Ważne jest, aby organizacje były na bieżąco z przyszłymi inicjatywami państw członkowskich w tym obszarze.
Zwiększone wymagania bezpieczeństwa
NIS2 poprawi wymogi bezpieczeństwa przedsiębiorstw poprzez wprowadzenie metodologii zarządzania ryzykiem i minimalnej listy podstawowych elementów bezpieczeństwa. Dyrektywa zawiera również znacznie bardziej szczegółowe przepisy dotyczące zgłaszania incydentów, w tym na przykład treści i terminów zgłoszeń. Zgodnie z dyrektywą, powiadomienie musi zostać dokonane w ciągu 24 godzin od wystąpienia incydentu i musi obejmować bardziej szczegółowy proces raportowania. NIS2 wymaga również zajęcia się bezpieczeństwem łańcucha dostaw. Obejmuje to również ryzyko stwarzane przez współzależności pomiarowe. NIS2 podkreśla również odpowiedzialność kierownictwa za cyberbezpieczeństwo organizacyjne i nakłada indywidualną odpowiedzialność na organy zarządzające, takie jak rady korporacyjne i kierownictwo, w celu zapewnienia skutecznego wdrożenia wymogów cyberbezpieczeństwa. Organizacje mogą podlegać różnym nakazom egzekucyjnym, a ich nieprzestrzeganie może skutkować nałożeniem znacznych kar pieniężnych.
