Już dziś wchodzi w życie w Polsce europejska dyrektywa NIS 2, wprowadzając nowe wymagania dla firm w zakresie cyberbezpieczeństwa. Celem jest zwiększenie odporności firm kluczowych dla gospodarki na cyberzagrożenia. Co istotne, dyrektywa wyróżnia dwie grupy podmiotów: podmioty kluczowe (np. energetyka, transport, finanse) i podmioty ważne (np. dostawcy usług cyfrowych), przy czym podmioty kluczowe podlegają bardziej rygorystycznym wymogom.
Kluczowe obowiązki dla firm
Dyrektywa NIS 2 rozszerza zakres regulacji z 2016 roku i obejmuje teraz nie tylko sektory krytyczne, ale również nowe branże o strategicznym znaczeniu. Kluczowe elementy obowiązków firm to:
Zarządzanie ryzykiem: Firmy muszą wdrożyć środki ochrony technologicznej i organizacyjnej proporcjonalne do zagrożeń. Nowością jest obowiązek tworzenia planów ciągłości działania na wypadek incydentów cybernetycznych.
Raportowanie incydentów: W przypadku poważnych naruszeń bezpieczeństwa firmy muszą zgłaszać je organom w ciągu 24 godzin, a szczegółowy raport dostarczyć w ciągu 72 godzin.
Współpraca międzynarodowa: Podmioty będą musiały współpracować z krajowymi oraz unijnymi organami, udostępniając informacje na temat zagrożeń oraz uczestnicząc w koordynowanych działaniach przeciwdziałających cyberatakom.
Wzmożony nadzór nad firmami kluczowymi: Podmioty uznane za kluczowe będą podlegać szczególnemu nadzorowi, a ich obowiązki dotyczą m.in. bardziej zaawansowanych środków bezpieczeństwa, regularnych audytów i szkoleń.
Kary za naruszenie przepisów NIS 2
Dyrektywa przewiduje surowe kary finansowe za niespełnienie wymogów, sięgające nawet 10 milionów euro lub 2% globalnych rocznych przychodów (w zależności od tego, która z tych kwot będzie większa). Dodatkowo, w skrajnych przypadkach może dojść do czasowego zawieszenia działalności lub cofnięcia licencji. Członkowie zarządów mogą być również pociągani do osobistej odpowiedzialności, jeśli nie wypełnią swoich obowiązków w zakresie cyberbezpieczeństwa.
Dla polskich firm, zwłaszcza tych z sektorów energetycznego, transportowego i bankowego, wprowadzenie NIS 2 oznacza konieczność zainwestowania w nowe rozwiązania IT, szkolenia oraz procedury zarządzania ryzykiem. Firmy muszą być przygotowane na wzmożone kontrole oraz audyty krajowych organów nadzoru, takich jak UODO czy ABW.
Dyrektywa NIS 2 wprowadza nowy poziom odpowiedzialności za cyberbezpieczeństwo, zwłaszcza dla podmiotów kluczowych dla funkcjonowania społeczeństwa i gospodarki. Firmy będą musiały zainwestować w nowe technologie, a także wdrożyć bardziej rygorystyczne procedury zarządzania ryzykiem. Niezastosowanie się do przepisów może prowadzić do poważnych konsekwencji finansowych oraz odpowiedzialności zarządu. Więcej informacji można znaleźć na stronie NASK.
