background

Dyrektywa NIS2 – czy Twoja firma jest przygotowana?

Unijna dyrektywa NIS2 jest odpowiedzią na ciągle zwiększające się ryzyko cyberatakami. Czym jest i kto jej podlega?

Obecnie jesteśmy coraz bardziej zależni od rozwoju nowoczesnej technologii i możliwości jakie daje rozbudowany system informatyczny. Jednak wraz z wykorzystaniem jego wszechstronności i potencjału znacząco zwiększa się zagrożenie cyberprzestępczością. I to nie tylko na skalę krajową, ale całej Unii Europejskiej. W związku z tym, w zeszłym roku weszła w życie unijna dyrektywa NIS2. Dokument wprowadza szereg środków prawnych mających na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE. Kogo nowy akt prawny dotyczy?

Dyrektywa NIS2, najogólniej ujmując, to unijne przepisy dotyczące cyberbezpieczeństwa. Dyrektywa aktualizuje wprowadzone w 2016 roku przepisy z tego obszaru. Istniejące ramy prawne zmodernizowano w taki sposób, aby nadążyć za ciągle postępującą cyfryzacją i zagrożeniami z tym związanymi. Dotychczasowy zakres przepisów o cyberbezpieczeństwie poszerzono o nowe sektory i podmioty.

Dyrektywa ma m.in. zwiększyć odporność biznesu na cyberataki. Dodatkowo ma zagwarantować międzynarodowy system reagowania na sytuacje kryzysowe i poszerzać świadomość w zakresie bezpieczeństwa w sieci. Ponadto ma wyrównać dysproporcje w odporności na cyberzagrożenia wśród państw członkowskich UE.

Podmioty określone w dyrektywie NIS2, będą zobligowane samodzielnie przeprowadzić ewaluację i stwierdzić, czy podlegają obowiązkom nałożonym przez dyrektywę. W przeciwnym wypadku będą musiały liczyć się z negatywnymi konsekwencjami braku zgodności z zapisami dokumentu. A mowa tutaj o dotkliwych karach finansowych.

Kogo dotyczy NIS2?

Nowa dyrektywa dotyczy zarówno podmiotów publicznych, jak i prywatnych. Jednak nie wszystkich. Chodzi przede wszystkim o podmioty świadczące usługi/prowadzące działalność w UE, których zakłócenie poprzez cyberatak mogłoby spowodować bardzo poważne konsekwencje społeczno-gospodarcze. W katalogu znajduje się m.in. sektor  energetyczny, transportowy, opieki zdrowotnej, bankowości, ale także produkcji, gospodarowania odpadami, przetwarzania i dystrybucji żywności. Sektory podzielono na takie o charakterze kluczowym oraz ważnym.

Wprowadzono także próg wielkości, w celu określenia, które podmioty wchodzą w jej zakres i są zobowiązane do zgłaszania istotnych incydentów cyberbezpieczeństwa właściwym organom krajowym. Dotyczy to wszystkich średnich i dużych przedsiębiorstw w wybranych sektorach. Jednocześnie dyrektywa pozostawia państwom członkowskim pewną swobodę w identyfikacji mniejszych podmiotów o wysokim profilu ryzyka bezpieczeństwa, które również powinny być objęte obowiązkami wynikającymi z nowej dyrektywy.

Jakie obowiązki nakłada dyrektywa?

Organy zarządzające firm, które określono jako kluczowe i ważne, zobowiązane są do zatwierdzania środków zarządzania ryzykiem związanym z cyberatakami. Chodzi o odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne. Organy zarządzające muszą również nadzorować cały proces. Jednocześnie spoczywa na nich odpowiedzialność za naruszanie przepisów. Dodatkowo nałożono obowiązek odbywania szkoleń tematycznych z zakresu cyberbezpieczeństwa zarówno dla zarządzających organizacjami, jak i dla ich pracowników.

Wszystkie incydenty mające istotny wpływ na świadczenie usług przez te podmioty, a także tzw. incydenty poważne, muszą być natychmiast zgłaszane właściwemu CERT lub innemu właściwemu organowi.

Ponadto, organy w Unii Europejskiej mogą wymagać stosowania konkretnych produktów, usług i procesów ICT, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa.

Jak CORONA Serwis może pomóc w przystosowaniu organizacji do zapisów dyrektywy?

Cyberbezpieczeństwo to jedno z kluczowych zagadnień szeroko omawiane w wielu branżach. W przypadku przedsiębiorstw np. z sektora produkcji czy energetycznego istotne będzie m.in. stosowanie urządzeń lub odpowiednich zabezpieczeń, które mogą skutecznie przeciwdziałać skutkom cyberataków lub nie są na nie podatne. I to w tym zakresie pomocą służą eksperci CORONA Serwis.

Wiele urządzeń znajdujących się w katalogu firmy działa niezależnie od jakiegokolwiek zewnętrznego wpływu – w tym cyberataków. Jednym z takich urządzeń jest SERGI Tranfsormer Protector. To system do ochrony transformatorów olejowych przed wybuchem i pożarem, który skutecznie chroni również w przypadku próby cyberataku na systemy sterujące transformatorem. Działa w pełni pasywnie bazując już na pierwszym piku ciśnienia dynamicznego. Nie wymaga żadnego zewnętrznego impulsu ani sygnału systemowego do uruchomienia.

Więcej o tym, jak działa pisaliśmy TUTAJ

W przypadku branży produkcyjnej przydatne mogą okazać się pasywne systemy zabezpieczenia przed wybuchem, na przykład membrany bezpieczeństwa czy zawory bezpieczeństwa. Urządzenia, które opierają się wyłącznie na działaniu pasywnym. To znaczy, że potrafią rozprężyć powstające w instalacji, na przykład w wyniku cyberataku, ciśnienie. Urządzenia te montuje się bezpośrednio na elemencie instalacji, którą mają chronić. Do ich skutecznego zadziałania nie jest potrzebny żaden zewnętrzny sygnał. Więcej o tych oraz wielu innych urządzeniach znajdujących się ofercie CORONA Serwis można przeczytać TUTAJ.

Czasami zdarza się, że przedsiębiorcy nie do końca zdają sobie sprawę z tego, jakie zagrożenie istnieje w ich zakładzie. Wtedy przydatne okaże się przeprowadzenie dokładnego audytu bezpieczeństwa. Eksperci CORONA Serwis przeprowadzają analizy bezpieczeństwa i sporządzają odpowiednie, wymagane prawnie, dokumenty. Chodzi m.in o Ocenę Ryzyka Wybuchu, Dokument Zabezpieczenia Przed Wybuchem czy Ocenę Zagrożenia Wybuchem. Ponadto prowadzimy szczegółowe doradztwo techniczne w zakresie bezpieczeństwa wybuchowego. Jednocześnie pomagamy dobrać odpowiednie zabezpieczenia, które nie tylko spełnią wszystkie prawne wymogi, ale przede wszystkim pomagają chronić zdrowie i życie pracowników.

Warto dodać, że na dostosowanie swoich struktur, zasobów i systemów do obowiązującej dyrektywy NIS2 organizacje objęte tym aktem prawnym mają czas do 18 października 2024 r.

Poprzedni wpis w kategorii