Dyrektywa NIS2 na rzecz wspólnego poziomu cyberbezpieczeństwa

Dyrektywa NIS2 to ogólnounijne prawodawstwo dotyczące bezpieczeństwa informacji, zapewniające środki prawne mające na celu zwiększenie ogólnego poziomu cyberodporności i standaryzację cyberbezpieczeństwa w całej UE. 

Państwa członkowskie UE są zobowiązane do transpozycji NIS2 do swoich przepisów krajowych do 17 października 2024 roku

Poza kilkoma wyjątkami, wymagania NIS2 mają zastosowanie do średnich i dużych przedsiębiorstw (50 lub więcej pracowników lub roczny obrót w wysokości 10 milionów euro), w wielu sektorach przemysłu, w tym między innymi w opiece zdrowotnej, usługach cyfrowych, infrastrukturze, bankowości i finansach, żywności, energii, wodzie, usuwaniu odpadów i usługach cyberbezpieczeństwa.

Głównym celem dyrektywy NIS2 jest promowanie kultury cyberbezpieczeństwa i zapewnienie odporności podstawowych usług w trzech kluczowych obszarach:

Zarządzanie ryzykiem i reagowanie na incydenty

NIS2 stanowi, że organizacje muszą przeprowadzać regularne oceny ryzyka w celu zidentyfikowania potencjalnych zagrożeń i posiadać solidne plany reagowania na incydenty, aby upewnić się, że mogą skutecznie reagować na incydenty cybernetyczne i odzyskiwać po nich dane.

Środki bezpieczeństwa

Wymaga ona od organizacji wdrożenia środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa ich sieci i systemów informatycznych. Obejmuje to kontrolę dostępu, szyfrowanie i regularne aktualizacje zabezpieczeń.

Wymagania dotyczące raportowania

Organizacje muszą również zgłaszać istotne incydenty cybernetyczne odpowiednim organom

Pobierz broszurę informacyjną* o Dyrektywie NIS2

*Broszura dostępna jedynie w języku angielskim

Kto powinnien dostosować się do wymagań NIS2?

Zmiany wchodzące w życie w październiku 2024 r. obejmują dodanie do zakresu nowych dostawców usług. W związku z tym dyrektywa NIS2 ma zastosowanie do organizacji działających lub prowadzących działalność na rzecz przedsiębiorstw z UE objętych jej zakresem. 

Obejmuje to firmy, które pasują do opisu „kluczowej” lub „ważnej” organizacji w określonej liście sektorów, takich jak:

  • dostawcy Internetu, 
  • dostawcy energii, 
  • dostawcy wody pitnej, 
  • przetwórcy odpadów, 
  • banki, przewoźnicy, 
  • instytucje opieki zdrowotnej, 
  • fabryki produkujące żywność,
  • dostawcy infrastruktury cyfrowej.

NIS2 wymaga od przedsiębiorstw w UE określenia wymogów bezpieczeństwa dla swoich dostawców, co oznacza, że przestrzeganie przepisów będzie miało kluczowe znaczenie dla utrzymania konkurencyjności firm.

Brak działania może być kosztowny. W ramach NIS2 organy krajowe mogą nakładać szerszy zakres sankcji w porównaniu z NIS. Na przykład:

  • Dyrektorzy i kierownictwo mogą zostać pociągnięci do osobistej odpowiedzialności za niepowodzenia w trakcie wdrożenia wymagań NIS2.
  • Grzywny mogą wynosić do 10 milionów euro lub 2% całkowitego obrotu (w przypadku istotnych podmiotów) lub 7 milionów euro lub 1,4% całkowitego obrotu (w przypadku ważnych podmiotów).
  • Organy regulacyjne mogą zawiesić prowadzoną przez nas działalność gospodarczą , jeśli uznają to za konieczne.

Odpowiednie sektory, regulowane dyrektywą NIS2 obejmują:

Obejrzyj nasz webinar* na temat NIS2

*Webinar dostępny jedynie w języku angielskim

Usługi potwierdzenia zgodności z wymaganiami NIS2 oferowane przez Bureau Veritas

Nasi eksperci Bureau Veritas, oferują szereg usług wspierających zgodność z dyrektywą NIS2, niezależnie od tego, gdzie znajdują się Państwo na swojej drodze do cyberbezpieczeństwa.

Sprawdzenie, czy NIS2 ma zastosowanie w Twojej organizacji

Pierwszym krokiem jest ustalenie, czy Państwa organizacja jest objęta zakresem dyrektywy NIS2, jeśli świadczą Państwo usługi na terytorium UE. NIS2 ma zastosowanie do ważnych i kluczowych podmiotów. To, czy firma jest tak sklasyfikowana, zależy od jej wielkości i sektora, w którym działa.

Szkolenia dla zarządu i pracowników

Szkolenia Państwa pracowników, zarówno na poziomie zarządu, jak i na innych poziomach, są istotną częścią wymagań dyrektywy NIS2. Opracowaliśmy dedykowany program szkoleniowy, który pomoże Państwu spełnić te wymagania na wszystkich poziomach.

Mapowanie obecnej sytuacji w organizacji

Aby określić, jakie kroki należy podjąć w celu spełnienia wymogów NIS2, ważne jest, aby mieć dobre wyobrażenie o tym, jakie są obecnie poziomy dojrzałości bezpieczeństwa różnych części Państwa organizacji. Nasza usługa oceny luk w zabezpieczeniach NIS2 mierzy, gdzie Państwo się znajdują i dokąd muszą Państwo zmierzać. Dzięki temu można mieć jasność, jakie kroki należy podjąć, aby zachować zgodność z NIS2.

Wdrożenie usprawnień

Po zmapowaniu obecnej sytuacji Państwa organizacji, mogą Państwo wdrożyć wszelkie działania naprawcze, które mogą być wymagane. Nasza szeroka gama rozwiązań może pomóc Państwu zarówno we wdrożeniu, jak i utrzymaniu wymaganego poziomu zgodności z dyrektywą NIS2.

Osiągnięcie zgodności z NIS2

Po wykonaniu tych kroków będą Państwo zgodni z NIS2, a Państwa organizacja będzie bezpieczniejsza w obliczu cyberzagrożeń.

Jakie są korzyści z potwierdzenia zgodności z dyrektywą NIS2?

Zgodność z NIS2

Zgodność z NIS2 jest nie tylko obowiązkowa dla wybranych organizacji, ale może także przynieść wiele korzyści, w tym:

  • zwiększoną odporność na zagrożenia cyberbezpieczeństwa i lepsze planowanie cyberzagrożeń,
     
  • lepsze zrozumienie zagrożeń cyberbezpieczeństwa w całej organizacji,
     
  • lepsze reagowanie na incydenty i raportowanie.

Dlaczego warto wybrać Bureau Veritas dla swoich potrzeb w zakresie zgodności z NIS2?

Doświadczone zespoły z wieloletnim doświadczeniem w zakresie zarządzania ryzykiem i zgodności z przepisami.

Szereg usług opracowanych specjalnie w celu zaspokojenia Państwa potrzeb w zakresie NIS2 i pomocy w uzyskaniu zgodności z tą dyrektywą.

Eksperci ds. cyberbezpieczeństwa w dziedzinie ludzi, procesów i technologii.

Pojedynczy punkt kontaktowy i sprawdzone podejście partnerskie.

Jasny plan działania w celu uzyskania i utrzymania zgodności z dyrektywą NIS2.

Wsparcie globalnej wiedzy Bureau Veritas, światowego lidera w zakresie testowania, inspekcji i usług certyfikacyjnych.

  • Czym różni się Dyrektywa NIS2 od Dyrektywy NIS?

    NIS2 koncentruje się na tych samych celach co NIS, ale obejmuje szerszy zakres sektorów, ma bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów oraz wyższe kary za nieprzestrzeganie przepisów. Rozszerza również zakres objętych nim organizacji.

  • Podsumowanie głównych wymagań NIS2

    NIS2 stanowi, że należy ustanowić procesy analizy i zarządzania ryzykiem, bezpieczeństwa informacji i zarządzania zagrożeniami cyberbezpieczeństwa. W celu reagowania na sytuacje kryzysowe należy wdrożyć plany ciągłości i odzyskiwania danych. Istotne incydenty muszą być zgłaszane odpowiednim organom. Wymagane jest stosowanie w całej firmie technologii szyfrowania i uwierzytelniania wieloskładnikowego. Wymagane są także regularne szkolenia dla wszystkich pracowników w zakresie najlepszych praktyk dotyczących bezpieczeństwa informacji.

  • Jak NIS2 odnosi się do ISO 27001?

    Chociaż zarówno ISO 27001, jak i NIS2 mają na celu zwiększenie cyberbezpieczeństwa, mają one różne zakresy, zastosowanie i ogólne podejście do cyberbezpieczeństwa. Jeśli Państwa system zarządzania bezpieczeństwem informacji (ISMS) jest certyfikowany zgodnie z ISO 27001, będą Państwo na dobrej drodze do osiągnięcia zgodności z NIS2, ale prawdopodobnie wymagane będą dodatkowe środki i procesy.  

Wypełnij formularz kontaktowy
Jak możemy Ci pomóc?
Proszę zaznaczyć przynajmniej jedną opcję wyboru

Zapoznaj się z naszą Polityką prywatności.

* Pola wymagane