NIS 2 to dyrektywa na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Obejmuje środki prawne, których celem jest zwiększenie poziomu bezpieczeństwa w kwestiach cybernetycznych. Celem wprowadzenia powyższej dyrektywy jest konieczność nadążenia za wzrostem cyfryzacji i zmianami w obszarach zagrożeń dla cyberbezpieczeństwa. Należy wziąć pod uwagę, że w czasach nagłego wzrostu liczby cyberataków i incydentów Unia Europejska musiała w jakiś sposób zareagować i wprowadzić mechanizm, który zabezpieczy państwa członkowskie przed tego typu zagrożeniami. Społeczeństwa europejskie muszą w ostatnim czasie mierzyć się z takimi atakami jak np. phishing, ransomware czy różnego rodzaju złośliwe oprogramowania. NIS 2 jest pewną znaczącą częścią strategii bezpieczeństwa w zakresie cybernetyki Unii Europejskiej i jest w pełni zgodny z głównymi priorytetami Komisji Europejskiej, które skupiają się na cyfrowej erze współczesnej Europy.
NIS 2 jest następcą NIS 1, który został utworzony i wprowadzony w życie na terenie Unii Europejskiej w 2016 roku. NIS 2 zostało przyjęte 10 listopada 2022 roku, a opublikowano 16 stycznia 2023 roku. Państwa członkowskie UE mają czas na wprowadzenie NIS 2 do 17 października 2024 roku.
Tak jak wcześniej zostało wspomniane dyrektywa obejmuje środki prawne, które mają za zadanie zwiększyć poziom cyberbezpieczeństwa krajów UE poprzez:
- Zapewnienie gotowości każdego z krajów członkowskich poprzez stworzenie odpowiednich organów czy zespołów np. CSIRT, czyli zespół reagowania na powstające incydenty bezpieczeństwa komputerowego oraz NIS, czyli krajowy organ do spraw sieci i systemów informatycznych.
- Powołanie grupy współpracy, której celem jest nawiązaniem współpracy między państwami członkowskim Unii Europejskiej w zakresie wymiany informacji i różnego rodzaju doświadczeń.
- Wprowadzenie zasad wysokiej kultury bezpieczeństwa w zakresie cybernetyki w obszarach i sektorach, które mają spore znaczenie dla społeczeństwa czy też dla gospodarki.
NIS 2 obejmuje więcej sektorów przedsiębiorstw i zmienia sposób ich przyporządkowania, bądź też klasyfikacji w stosunku do NIS 1. Podmioty dzieli się według wielkości podmiotu, ważności i rodzaju świadczonych usług czy poziomu powiązania z podmiotami powiązanymi czy też partnerskimi. Do NIS 2 zaliczamy następujące rodzaje przedsiębiorstw:
transport, opieka medyczna, energia, dostawcy usług cyfrowych, banki i instytucje finansowe, infrastruktura cyfrowa oraz zaopatrzenie w wodę, żywność, dostawca sieci publicznych lub usług komunikacji elektronicznej, przestrzeń kosmiczna, gospodarki ściekami i odpadami, administracja publiczna, usługi cyfrowe takie jak platforma usług społecznych i usług centów danych, usługi pocztowe i kurierskie czy też produkcji niektórych kluczowych produktów.
Dodatkowo dyrektywa rozróżnia podmioty ważne oraz kluczowe. Pierwsza grupa to te, które zatrudniają powyżej 50 pracowników i których roczny obrót przekracza 10 mln EUR, a suma bilansowa to ponad 10 mln EUR. Natomiast druga grupa to przedsiębiorstwa zatrudniające powyżej 250 osób z rocznymi obrotami przekraczającymi 50 mln EUR lub roczna sumą bilansową przekraczającą 43 mln EUR. Nie można zapomnieć jednak o mniejszych przedsiębiorstwach. Mikro i małe firmy odgrywają kluczową rolę dla gospodarki, społeczeństwa oraz określonych typów i sektorów usług, dlatego również zobowiązane są wprowadzić u siebie założenia Dyrektywy NIS 2.
NIS 2 dodatkowo zakłada mocniejszy nacisk na organy zarządzające spółek oraz podnosi kryteria bezpieczeństwa w oparciu o zarządzanie ryzykiem i określenie środków bezpieczeństwa w zakresie cybernetyki. Dyrektywa nakłada obowiązek zgłaszania incydentów bezpieczeństwa przez przedsiębiorstwa, a sankcje za nieprzestrzeganie dyrektywy mają być znacząco wyższe. Dodatkowo NIS 2 wprowadza obowiązek zwrócenia uwagi przez przedsiębiorstwa na kwestie bezpieczeństwa łańcucha dostaw oraz relacji z kontrahentami.
NIS 2 według szacunków może objąć swoim zakresem ponad 6000 różnego rodzaju podmiotów działających aż w 18 różnych sektorach w Polsce. Za niezastosowanie się do dyrektywy może zostać nałożona duża kara finansowa. Na przedsiębiorstwa o charakterze kluczowym kara ma wynosić co najmniej 10 mln EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym firmy. Natomiast dla podmiotów ważnych maksymalna kara finansowa to co najmniej 7 mln EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym firmy.
Warto podkreślić, że NIS 2 wprowadza następującą zasadę zgłaszania incydentów poważnych: 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie określonego incydentu. Rozporządzenie wymaga również by przedsiębiorstwo złożyło w odpowiednim czasie raporty okresowe oraz końcowe.
GRUPA ELKA świadczy kompleksowe usługi w obszarze cyberbezpieczeństwa. Nasze usługi świadczone są przez grupę specjalistów, którzy pomogą Państwu dostosować przedsiębiorstwo do standardów nowej dyrektywy.