LexDigital

Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Wraz z rosnącym wyrafinowaniem zagrożeń cyberbezpieczeństwa zaistniała potrzeba wprowadzenia jeszcze bardziej rygorystycznych przepisów. Wraz z przyjęciem przez Unię Europejską w 2022 r. dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS-2) ramy prawne uległy istotnej zmianie. Dowiedz się, jak nowe przepisy wpłyną na poszczególne branże.

Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Czym jest dyrektywa NIS-2?

Dyrektywa NIS 2 (pełna nazwa: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148) stanowi kontynuację poprzedniej dyrektywy NIS.

Celem regulacji jest radykalne zwiększenie cyberbezpieczeństwa krytycznych sektorów Unii. Ponieważ data wdrożenia dyrektywy zbliża się wielkimi krokami, przedsiębiorstwa powinny zapoznać się z tym, jakich sektorów dyrektywa ta dotyczy w największym stopniu i jakie środki zgodności będą musiały wprowadzić.

Celem dyrektywy NIS jest zapewnienie cyberbezpieczeństwa w całej Unii Europejskiej.
Celem dyrektywy NIS jest zapewnienie cyberbezpieczeństwa w całej Unii Europejskiej.


Jedną z najważniejszych zmian, jakie wprowadziła dyrektywa NIS-2, jest poszerzenie jej zakresu. Z tego powodu czemu więcej organizacji (niezależnie od wielkości) podlega przepisom dyrektywy!

GRC – czym jest i kogo obowiązuje? Dowiedz się więcej

Dlaczego dyrektywa NIS-2 jest ważna?

Dyrektywa NIS-2 to narzędzie prawne opracowane w celu zwiększenia ogólnego cyberbezpieczeństwa w Unii Europejskiej poprzez wprowadzenie nowych środków ochrony infrastruktury krytycznej. Aktualizuje ona również poprzednią dyrektywę NIS przyjętą w 2016 r., dostosowując ją do szybko zmieniającego się charakteru cyberzagrożeń.

Według założeń NIS-2 zharmonizuje podejście do cyberbezpieczeństwa w państwach członkowskich UE. W efekcie będzie to oznaczać wzmocnienie cyberbezpieczeństwa w przedsiębiorstwach i podmiotach zaangażowanych w kluczowe sektory wraz z odpowiednimi środkami zarządzania ryzykiem i reagowania na incydenty. Otwiera to również drogę do ściślejszej współpracy między sektorem publicznym i prywatnym w zakresie wymiany informacji na temat potencjalnych zagrożeń i słabych punktów, a także ataków.

Legislacja UE zakłada poważne zmiany w dziedzinie cyberbezpieczeństwa.
Legislacja UE zakłada poważne zmiany w dziedzinie cyberbezpieczeństwa.


NIS-2 ma również na celu podniesienie poprzeczki pod względem tego, co będzie uważane za odpowiednie bezpieczeństwo dla branż, które są niezbędne dla funkcjonowania społeczeństwa i gospodarki. Nieprzestrzeganie dyrektywy pociągnie za sobą bardzo surowe sankcje, dlatego też istnieje zasadnicza potrzeba zrozumienia, co jest dozwolone, a co nie.

Kluczowe zmiany w porównaniu z pierwotną dyrektywą NIS

  • Szerszy zasięg – zwiększając zasięg w różnych sektorach i organizacjach, NIS-2 postawi wiele nowych branż przed wyzwaniem zapewnienia zgodności z dyrektywą
  • Lepsze zarządzanie – firmy objęte NIS-2 będą musiały wyznaczyć osoby odpowiedzialne za cyberbezpieczeństwo i wprowadzić bardziej ustrukturyzowane raportowanie incydentów
  • Szersza współpraca – dzięki dyrektywie istnieje możliwość szerszej współpracy w zakresie cyberbezpieczeństwa między państwami członkowskimi UE oraz w ramach partnerstw publiczno-prywatnych

Branże, na które wpłynie dyrektywa NIS-2

Sektor energetyczny

Sektor energetyczny jest jednym z kręgosłupów współczesnego życia, a jego infrastruktura często jest głównym celem ataków. Zakłócenie usług energetycznych może wywołać efekt kaskadowy w sektorach zdrowia, transportu, produkcji i życia codziennego. NIS-2 nałoży bardziej rygorystyczne przepisy na przedsiębiorstwa energetyczne w celu zapewnienia zgodności z zasadami cyberbezpieczeństwa.

Zdolność reagowania jest kluczowa w przypadku infrastruktury krytycznej.
Zdolność reagowania jest kluczowa w przypadku infrastruktury krytycznej.


Opieka zdrowotna

Wykorzystanie cyfrowej dokumentacji medycznej i urządzeń medycznych z obsługą IoT (Internet of Things) rośnie z każdym dniem, co istotnie zwiększa ryzyko.

Ponieważ cyberataki w sektorze opieki zdrowotnej mogą spowodować utratę życia, przestrzeganie zapisów NIS-2 jest aspektem o pierwszorzędnym znaczeniu.

Opieka zdrowotna to jedna z branż wymienionych w dyrektywie NIS 2.
Opieka zdrowotna to jedna z branż wymienionych w dyrektywie NIS 2.


Usługi finansowe

Usługi finansowe były tradycyjnie głównym celem cyberprzestępczości, ponieważ banki, firmy ubezpieczeniowe i dostawcy usług płatniczych mają bezpośredni dostęp do pieniędzy. W erze bankowości cyfrowej instytucje finansowe i powiązane z nimi firmy stają się coraz bardziej otwarte na transakcje online i technologie blockchain.

Nowe wymagania w ramach cyberbezpieczeństwa NIS-2 będą nawet dalej idące dla instytucji finansowych w zakresie wdrażania zaawansowanych systemów wykrywania zagrożeń i dokumentowania procesów reagowania w przypadku wystąpienia jakiegokolwiek incydentu oraz ochrony danych. Z drugiej strony, kary związane z nieprzestrzeganiem NIS-2 będą prawdopodobnie bardzo wysokie, co zmusi firmy z sektora do zwrócenia należytej uwagi na zarządzanie cyberbezpieczeństwem.

Kary RODO. Dowiedz się więcej

Dostawcy usług finansowych będą mieli obowiązek zgłaszania incydentów w obszarze cyberbezpieczeństwa.
Dostawcy usług finansowych będą mieli obowiązek zgłaszania incydentów w obszarze cyberbezpieczeństwa.


Transport

W miarę jak automatyzacja systemów przejmuje kontrolę nad wszystkim, począwszy od ruchu lotniczego po logistykę ładunków, szanse na udany cyberatak prowadzący do zakłóceń o potencjalnie katastrofalnych skutkach zaczynają stawać się realne.

NIS-2 kładzie większy nacisk na organizacje transportowe, aby zapewnić solidne strategie obrony cyberbezpieczeństwa. Obejmuje to systemy monitorowania w czasie rzeczywistym i okresowe analizy ryzyka, a także zgłaszanie istotnych incydentów bezpieczeństwa, jeśli takie wystąpią. Firmy działające w tym sektorze będą musiały zainwestować w modernizację swojej infrastruktury bezpieczeństwa, dostosowując się do minimalnych standardów zgodności określonych przez NIS-2.

Zapewnienie bezpieczeństwa transportu w całej Unii to jeden z celów dyrektywy NIS 2.
Zapewnienie bezpieczeństwa transportu w całej Unii to jeden z celów dyrektywy NIS 2.


Dostawcy systemów informatycznych

Infrastruktura cyfrowa jest kręgosłupem w społeczeństwie opartym na informacji. Konsekwencją naruszenia bezpieczeństwa może być sparaliżowanie całej gospodarki, dlatego jest to jeden z najważniejszych sektorów w ramach NIS-2.

Dostawcy infrastruktury cyfrowej mają procedury bezpieczeństwa, których należy przestrzegać, aby chronić komunikację w swoich sieciach, wzmocnić centra danych i zapewnić odporność platform chmurowych na ataki. Szczególną uwagę należy zwrócić na szyfrowanie, mechanizmy uwierzytelniania i planowanie redundancji, aby umożliwić utrzymanie operacji podczas incydentu cybernetycznego.

Hakerzy często biorą na cel dostawców usług cyfrowych.
Hakerzy często biorą na cel dostawców usług cyfrowych.


Administracja publiczna

Dlatego też cyberprzestępcy zawsze obierają za cel organy administracji publicznej jako główne źródło podatności na ataki systemów rządowych. Stopień zależności od systemów cyfrowych w świadczeniu usług, takich jak pobór podatków, rejestracja urodzeń i zgonów oraz każda inna forma programu opieki społecznej, stwarza drogę do poważnych konsekwencji zakłóceń cybernetycznych - od rad miejskich po ministerstwa krajowe.

Zaatakowanie urzędów często powoduje zaburzenie porządku publicznego.
Zaatakowanie urzędów często powoduje zaburzenie porządku publicznego.


Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych znany z NIS 1, nowym podziałem na podmioty kluczowe i podmioty ważne. Więcej na ten temat przeczytasz tutaj.

Compliance Management - przyszłość branż objętych NIS 2

Dla firmy objętej regulacjami NIS-2 zrozumienie implikacji dyrektywy to pierwszy krok do jej przestrzegania. Nowe prawo wymaga bardziej proaktywnego podejścia w budowaniu systemów cyberbezpieczeństwa. W praktyce oznacza to przede wszystkim:

  • Ocenę ryzyka – pełnowymiarową ocenę ryzyka przez firmy w celu zidentyfikowania słabych punktów ich infrastruktury cyfrowej. Powinna ona obejmować również korzystanie z bezpiecznych sieci VPN w celu ochrony wrażliwych danych i zmniejszenia ryzyka nieautoryzowanego dostępu, zwłaszcza gdy pracownicy uzyskują zdalny dostęp do zasobów firmy.
  • Planowanie reagowania na incydenty – powinno być jasno określone w zakresie i szczegółach w organizacjach reagujących na naruszenie cyberbezpieczeństwa informacji.

NIS 2: aktualizacja prawa krajowego. Ustawa o krajowym systemie cyberbezpieczeństwa

Przepisy dotyczące cyberbezpieczeństwa wprowadzone dyrektywą NIS 2 rozszerzyły zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa oraz zdefiniowały na nowo zadania organów Unii Europejskiej w tym obszarze.

Kolejny krok to proces implementowania Dyrektywy do porządku prawnego w państwach członkowskich. Poszczególne państwa mają na to czas maksymalnie do 17 października 2024r. Polska w tym zakresie podjęła prace nad projektem nowelizacji obecnej ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Więcej dowiesz się tutaj.

Czas na wdrożenie dyrektywy NIS 2 przez państwa członkowskie UE

Dyrektywa NIS-2 stanowi krok naprzód w kierunku ponownego wyobrażenia sobie cyberbezpieczeństwa w całej UE. Rozszerzenie zakresu branż, wraz z dodatkowymi surowymi przepisami, sprawia, że dyrektywa ma teraz znacznie większy wpływ na sektory takie jak energetyka, opieka zdrowotna, usługi finansowe, transport i infrastruktura cyfrowa.

Firmy objęte zapisami dyrektywy NIS 2 mają do rozważenia delikatną równowagę w zakresie zgodności, z surowymi karami związanymi z nieprzestrzeganiem przepisów, a jednocześnie są zobowiązane do zapewnienia ochrony współmiernej do rosnącej fali cyberzagrożeń. Będzie to ważne nie tylko dla ochrony samych organizacji, ale także dla utrzymania i zabezpieczenia odporności całego cyfrowego ekosystemu.

Do 17 października polski rząd musi wdrożyć dyrektywę NIS 2.
Do 17 października polski rząd musi wdrożyć dyrektywę NIS 2.


Outsourcing funkcji IOD. Przekaż nam pełnienie funkcji Inspektora Ochrony Danych Osobowych w swojej firmie!

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk