Dyrektywa NIS-2 (Network and Information Systems Directive 2) to nowelizacja pierwszej dyrektywy NIS, która ma na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa ta wprowadza nowe wymagania dla szerokiego zakresu podmiotów, w tym administracji publicznej, sektora żywności, przemysłu, zarządzania odpadami i przestrzeni kosmicznej.
Najważniejsze zmiany wynikające z Dyrektywy NIS-2 obejmują:
- Rozszerzenie zakresu podmiotowego, obejmując więcej sektorów gospodarki.
- Wprowadzenie większych wymagań w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach.
- Precyzyjne zapisy dotyczące raportowania incydentów.
- Odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.
- Nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni
Dyrektywa NIS-2 wejdzie w życie 18 października 2024 roku, a państwa członkowskie UE mają 21 miesięcy na wprowadzenie jej postanowień do prawa krajowego.
Jakie kary za niewdrożenie Dyrektywy NIS2?
Za niewdrożenie NIS 2, organizacje mogą zostać ukarane grzywną do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy, w zależności od tego, która kwota jest wyższa. Dodatkowo, osoby zarządzające mogą ponosić osobistą odpowiedzialność za nieprzestrzeganie przepisów
Dyrektywa NIS 2 dotyczy średnich i dużych firm oraz instytucji z wielu sektorów, takich jak energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. Firmy te będą musiały wprowadzić szereg rozwiązań i procedur bezpieczeństwa, aby chronić swoje systemy przed cyberatakami.
Aby przygotować firmę na NIS-2, warto podjąć kilka kluczowych kroków:
Ocena ryzyka
Przeprowadź szczegółową ocenę ryzyka, aby zidentyfikować potencjalne zagrożenia i słabe punkty w systemach informatycznych firmy.
Zarządzanie incydentami
Opracuj i wdróż plan zarządzania incydentami bezpieczeństwa, który obejmuje identyfikację, reagowanie, raportowanie i analizę incydentów.
Szkolenia
Zorganizuj szkolenia dla pracowników, aby zwiększyć ich świadomość na temat cyberbezpieczeństwa i procedur związanych z NIS-2.
Współpraca z ekspertami
Skorzystaj z usług firm specjalizujących się w cyberbezpieczeństwie, które mogą pomóc w dostosowaniu się do nowych wymagań.