Dyrektywa NIS2 – czym jest i co oznacza dla OUK?

Cyberataki to dziś największe zagrożenie dla usług publicznych. Cyberprzestępcy są w stanie doprowadzić m.in. do zawieszenia systemów w szpitalach, paraliżu systemu kolei czy wstrzymania dostaw wody pitnej. Zapewnienie cyberbezpieczeństwa jest kluczowe dla Europy, a wymiar cyberataków stale się zwiększa. Konieczne jest więc dostosowywanie norm i przepisów do nowych warunków. 

Efektem tego jest wejście w życie nowej unijnej dyrektywy NIS2, która oznacza spore zmiany i nowe obowiązki m.in. dla fabryk, firm wodno-kanalizacyjnych, szpitali i banków. Czym jest NIS2, co zmienia i jak wpłynie na funkcjonowanie operatorów usług kluczowych (OUK)?

Cele dyrektywy NIS2

Władze Unii Europejskiej oraz poszczególnych państw członkowskich już od wielu lat są świadome powagi cyberzagrożeń. Z tego powodu wprowadzono szereg przepisów:

  • W 2016 roku pojawiła się unijna dyrektywa NIS (Network and Information System Directive). Była to pierwsza unijna regulacja z zakresu cybersecurity.
  • W 2018 wprowadzono w Polsce Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która była lokalnym wdrożeniem dyrektywy NIS. 

Te przepisy są dziś już jednak niewystarczające. Postępująca digitalizacja sfer życia publicznego i powszechne stosowanie narzędzi cyfrowych sprawiły, że cyberataki mogą mieć poważne konsekwencje dla bezpieczeństwa w Europie. Coraz częściej dochodzi do poważnych incydentów wymierzonych w instytucje państwowe. Unia Europejska musiała więc opracować nowe przepisy, które pomogą zabezpieczyć współczesne usługi publiczne na terenie wspólnoty.

Tak doszło do opracowania dyrektywy NIS2, która zastąpiła dotychczasową dyrektywę NIS. Jej zadaniem jest zabezpieczenie danych, zapewnienie bezpieczeństwa usług publicznych i stworzenie nowej strategii cyberbezpieczeństwa dla Europy.

Co to jest NIS2?

NIS2 (dyrektywa 2022/255 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w UE) to nowe przepisy unijne dotyczące cyberbezpieczeństwa. Weszły w życie w 16 stycznia 2023, a ich pełne wdrożenie będzie trwało do października 2024. Jej celem jest dostosowanie standardów cyberbezpieczeństwa do nowych zagrożeń wymierzonych w europejskie sieci i systemy informatyczne.

Dyrektywa NIS2 uchyla dotychczasową dyrektywę NIS i wprowadza następujące zmiany dla przedsiębiorców:

  • wprowadza podział na usługi ważne i kluczowe oraz rozszerza zakres podmiotów, które będą musiały podjąć działania związane z cyberbezpieczeństwem (szacuje się, że nowymi obowiązkami zostanie objęte kilka tysięcy firm w Polsce);
  • nakłada nowe obowiązki związane z cyberbezpieczeństwem, takie jak konieczność dostosowania polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, zarządzania incydentami, wprowadzenia planu ciągłości działania;
  • wprowadza możliwość nakładania kar za niedostosowanie się do przepisów. Ich wysokość będzie uzależniona od rodzaju podmiotu (w przypadku usług kluczowych mogą one wynosić nawet do 10 mln EUR lub 2% łącznego rocznego obrotu).

Co zmienia dyrektywa NIS2?

Dyrektywa NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne. Oznacza to objęcie przepisami kolejne przedsiębiorstwa. Należą do nich m.in. firmy z branży:

  • energetycznej
  • transportowej
  • bankowości i finansów
  • wodno-kanalizacyjnej
  • ochrony zdrowia
  • administracji publicznej
  • produkcji żywności.

W praktyce oznacza to, że podmioty te zostają objęte wzmocnionymi środkami nadzoru:

  • podmioty ważne muszą przeprowadzić audyt bezpieczeństwa, gdy dojdzie do naruszeń
  • podmioty kluczowe są zobowiązane do przeprowadzania regularnych audytów, przedstawiania dowodów na prowadzenie polityki cyberbezpieczeństwa, powiadamiania odpowiednich organów o nieprawidłowościach i incydentach oraz mogą zostać poddawane kontrolom wyrywkowym.

OUK w branży wodno-kanalizacyjnej

Wdrożenie dyrektywy NIS2 nakłada nowe obowiązki m.in. na przedsiębiorstwa wodno-kanalizacyjne. Dotychczas branża ta nie była objęta regulacjami – po wejściu w życie nowych przepisów przedsiębiorstwa wodkan będą zobowiązane m.in. do:

  • analizy ryzyka i zarządzania ryzykiem
  • raportowania incydentów do CSIRT
  • wdrożenia polityki bezpieczeństwa systemów
  • zabezpieczenia łańcucha dostaw
  • zarządzania incydentami
  • opracowania i wdrożenia Planu Ciągłości Działania
  • przeszkolenia personelu z zakresu cyberbezpieczeństwa.

Więcej informacji o nowych obowiązkach przedsiębiorstw wodno-kanalizacyjnych oraz wskazówek dotyczących wdrożenia w nich dyrektywy NIS2 znajdziesz w artykule: Nowe obowiązki przedsiębiorstw wodno-kanalizacyjnych – NIS2 a ustawa KSC.

Jak wdrożyć NIS2 w przedsiębiorstwie?

Jeśli zgodnie z nowymi przepisami Twoja firma zostaje objęta dodatkowymi regulacjami, czeka Cię szereg zmian związanych z cyberbezpieczeństwem. Musisz m.in. wprowadzić dodatkowe zabezpieczenia oraz opracować Plan Ciągłości Działania. W przeciwnym wypadku, oprócz kary finansowej, może spotkać Cię nawet utrata zezwolenia na świadczenie usług lub prowadzenia działalności gospodarczej.

Jeśli chcesz uniknąć dotkliwych kar, zacznij działać już teraz. Czasu jest mniej niż myślisz – wdrożenie NIS2 to złożony proces obejmujący wiele obszarów działania przedsiębiorstwa, więc warto zacząć wdrożenie jak najwcześniej.

Jeśli chciałbyś wdrożyć nowe przepisy sprawnie i prawidłowo, skontaktuj się z nami. W ESKOM od lat pomagamy firmom spełnić wymagania dotyczące cyberbezpieczeństwa i doskonale znamy nowe regulacje. Nie tylko stworzymy dla Ciebie Plan Ciągłości Działania, ale też wdrożymy szereg działań, które zagwarantują Ci skuteczne dostosowanie się do nowych przepisów i uniknięcie kar.