W związku z rosnącymi zagrożeniami cyfrowymi Unia Europejska wprowadza Dyrektywę NIS2 (Network and Information System), której celem jest wzmocnienie cyberbezpieczeństwa w kluczowych sektorach gospodarki. Aktualnie trwają prace nad projektem polskiej ustawy implementujące dyrektywę NIS2. Ustawa powinna wejść w życie już w 2025 r.
Kogo dotyczy NIS2?
Do wdrożenia dyrektywy będzie zobowiązana branża energetyczna, transport i bankowość, ale również firmy produkcyjne. W zależności od znaczenia dla gospodarki, podmioty te podzielono na kluczowe i ważne, przy czym oba typy organizacji będą musiały spełnić określone wymogi.
Zwracamy uwagę, że podmioty zobowiązane do wdrożenia dyrektywy NIS2 będą musiały dokonać tak zwanej samoidentyfikacji, co oznacza, że każda firma będzie musiała samodzielnie ustalić, czy powinna wdrożyć dodatkowe systemy cyberbezpieczeństwa.
Najważniejsze zmiany wprowadzone przez NIS2
- Rozszerzony zakres regulacji – więcej branż objętych przepisami.
- Obowiązkowe zarządzanie ryzykiem – firmy muszą wdrożyć skuteczne systemy cyberbezpieczeństwa.
- Nowe wymogi raportowania – poważne incydenty muszą być zgłaszane w ciągu 24 godzin.
- Większa odpowiedzialność zarządu –kierownictwo, obejmujące członków zarządu, dyrektorów oraz osoby odpowiedzialne za cyberbezpieczeństwo, będzie ponosić bezpośrednią odpowiedzialność za zapewnienie zgodności organizacji z wymaganiami dyrektywy NIS2. W przypadku stwierdzenia nieprawidłowości, na osoby należące do kierownictwa mogą zostać nałożone kary administracyjne sięgające nawet 600% ich wynagrodzenia.
- Surowe kary za nieprzestrzeganie przepisów –firmy produkcyjne odpowiadać będą do 7.000.000 EUR lub do 1,4% całkowitego rocznego światowego obrotu uzyskanego w poprzednim roku obrotowym – w zależności od tego, która z tych wartości jest wyższa
Jak się przygotować?
Aby uniknąć sankcji i zwiększyć odporność na cyberzagrożenia,
rekomendujemy:
✅ Audyt obecnych zabezpieczeń i identyfikację luk.
✅ Opracowanie procedur zarządzania ryzykiem i planów reakcji na incydenty.
✅ Szkolenia dla kadry zarządzającej i pracowników w zakresie cyberbezpieczeństwa.
✅ Wdrożenie systemów monitorowania i raportowania incydentów.
✅ Współpracę z ekspertami w celu dostosowania się do nowych wymagań.
Podsumowanie
Dyrektywa NIS2 nakłada istotne obowiązki na szerokie spektrum organizacji. Brak dostosowania się do nowych przepisów może skutkować nie tylko wysokimi karami, ale również zwiększoną podatnością na cyberataki. Warto już teraz podjąć działania przygotowawcze, aby uniknąć ryzyka i zapewnić zgodność z nowymi regulacjami.
Jeśli Państwa organizacja potrzebuje wsparcia w przygotowaniach do NIS2, zapraszamy do kontaktu.
