NIS2; zagrożenia i szanse dla przedsiębiorstw

autorzy

Fabio Borri

Nie znaleziono żadnych wyników.

Opublikowano:

30 lipca 2025 r.

Treść

Udostępnij ten artykuł

Wprowadzenie i odniesienia do przepisów

NIS to skrót od „Network and Information Security” (bezpieczeństwo sieci i informacji).

Za pomocą tego skrótu Wspólnota Europejska zamierzała określić działania legislacyjne mające na celu ustalenie ujednoliconego podejścia do cyberbezpieczeństwa we wszystkich państwach członkowskich UE.

W 2018 r. przyjęto pierwsze europejskie rozporządzenie znane jako NIS1 (dyrektywa UE 2016/1148), które zostało transponowane na szczeblu krajowym dekretem ustawodawczym nr 65 z dnia 18 maja 2018 r.

Rozporządzenie w sprawie NIS przewidywało również przyjęcie „krajowej strategii cyberbezpieczeństwa” poprzez utworzenie włoskiego zespołu CSIRT (Computer Security Incident Response Team), któremu powierzono zadania techniczne związane z zapobieganiem, reagowaniem i monitorowaniem incydentów cybernetycznych we współpracy z europejskimi zespołami CSIRT.

NIS1 został następnie zastąpiony przez NIS2 (dyrektywa UE 2022/2555); transponowano go na szczeblu krajowym dekretem ustawodawczym nr 138 z dnia 4 września 2024 r.

Celem dyrektywy NIS 2 jest przezwyciężenie ograniczeń dyrektywy NIS 1, która pozostawiała państwom członkowskim zbyt dużą swobodę przy transpozycji, co spowodowało, że nie osiągnięto celu harmonizacji, a także wykluczyła pewne kategorie podmiotów, które powinny były podlegać regulacji ze względu na ich znaczenie dla rynku europejskiego.

Ponadto: NIS2 wprowadzono w odpowiedzi na rosnące tempo cyfryzacji, które ma miejsce we wszystkich państwach członkowskich i które uległo przyspieszeniu w wyniku pandemii; zjawisko to spowodowało rozszerzenie obszaru narażonego na cyberataki bez odpowiedniego wzmocnienia systemów bezpieczeństwa.

Wreszcie, kolejnym celem dyrektywy NIS2 jest nałożenie na operatorów usług kluczowych i istotnych oraz dostawców usług cyfrowych obowiązku wprowadzenia odpowiednich środków bezpieczeństwa oraz niezwłocznego zgłaszania incydentów właściwym organom i użytkownikom ich usług.

Nowa dyrektywa została dostosowana do innych szczegółowych europejskich przepisów sektorowych, w tym:

- dyrektywa w sprawie cyfrowej odporności operacyjnej sektora finansowego (DORA). Jest to rozporządzenie przyjęte w dniu 10 listopada 2022 r., którego celem jest wzmocnienie środków bezpieczeństwa na rzecz odporności i cyberbezpieczeństwa sektora finansowego poprzez wdrożenie szeregu obowiązkowych środków bezpieczeństwa gwarantujących integralność informacji oraz cyberbezpieczeństwo usług;

- dyrektywa w sprawie odporności podmiotów o znaczeniu krytycznym (CER); mająca na celu zapewnienie jasności prawnej i spójności między różnymi dyrektywami.

Przedsiębiorstwa, o których mowa, podzielono na:

Kluczowe sektory (energetyka; transport; służba zdrowia; zaopatrzenie w wodę; administracja publiczna; finanse; sektor kosmiczny; infrastruktura cyfrowa)
Kluczowe sektory (badania naukowe; chemia; żywność; produkcja przemysłowa; dostawcy usług cyfrowych; usługi pocztowe; gospodarka odpadami)
Organy publiczne: Rząd centralny (organy konstytucyjne i o znaczeniu konstytucyjnym; Kancelaria Prezesa Rady Ministrów i ministerstwa; organy podatkowe; Niezależny Urząd Niezależny ) | Władze regionalne (województwa i okręgi autonomiczne) | Władze lokalne (miasta stołeczne; gminy liczące ponad 100 000 mieszkańców; stolice regionów; lokalne organy służby zdrowia) | Inne podmioty publiczne (organy regulacji gospodarczej; dostawcy usług gospodarczych; stowarzyszenia; dostawcy usług socjalnych, rekreacyjnych i kulturalnych; jednostki i instytucje badawcze; eksperymentalne instytuty zooprofilaktyczne) | Inne rodzaje podmiotów (podmioty świadczące usługi lokalnego transportu publicznego; instytucje edukacyjne prowadzące działalność badawczą; podmioty prowadzące działalność w interesie kultury; spółki wewnętrzne; spółki portfelowe i spółki pod kontrolą publiczną)
Dostawcy: organizacje świadczące kluczowe usługi na rzecz podmiotów objętych dyrektywą NIS2 muszą wzmocnić swoje zabezpieczenia cyfrowe, nawet jeśli nie zostały one wyraźnie wymienione w wykazie Branże objętych obowiązkiem.

Treść dyrektywy NIS2

Ogólne zobowiązania wynikające z treści dyrektywy NIS2 można podsumować w oparciu o cztery główne filary:

Zarządzanie: Kierownictwo musi zatwierdzać środki zarządzania ryzykiem przyjęte przez organizację oraz oceniać ich skuteczność w miarę upływu czasu: regularnie uczestniczyć w szkoleniach dotyczących kwestii związanych z cyberbezpieczeństwem oraz organizować podobne szkolenia dla pracowników.

Zarządzanie ryzykiem: organizacja musi dokonać oceny zagrożeń związanych z bezpieczeństwem i siecią oraz wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zapobiegania incydentom lub minimalizowania ich skutków dla odbiorców swoich usług.

Ciągłość działania: organizacja musi wdrożyć rozwiązania zapewniające ciągłość działania (np. kopie zapasowe, plan przywracania sprawności po awarii oraz procedury zarządzania kryzysowego), mające na celu zminimalizowanie skutków ewentualnych przerw w świadczeniu usług.

Łańcuch dostaw: firma musi dokonać oceny słabych punktów każdego bezpośredniego dostawcy oraz ogólnej jakości produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez dostawców. Ocena obejmie dostawców usług ICT oraz innych kluczowych dostawców, których działania mogłyby spowodować zakłócenia w świadczeniu usług, w związku z którymi organizacja została włączona do zakresu regulacji NIS2.

Przedsiębiorstwa będą zatem zobowiązane do mierzenia i raportowania następujących elementów:

Analiza ryzyka i zasady bezpieczeństwa systemów informatycznych
Procedury zarządzania incydentami
Rozwiązania w zakresie ciągłości działania (tworzenie kopii zapasowych i odzyskiwanie danych po awarii) oraz procedury zarządzania kryzysowego i komunikacji
Zasady bezpieczeństwa łańcucha dostaw (dostawcy i usługodawcy)
Bezpieczeństwo w zakresie pozyskiwania, rozwoju, utrzymania i zarządzania systemami informatycznymi oraz lukami w zabezpieczeniach sieci

Harmonogram NIS2

Przedsiębiorstwa i organy administracji publicznej będą musiały przeprowadzić ocenę, aby ustalić, czy podlegają obowiązkom wynikającym z dyrektywy NIS2.

W okresie od 1 grudnia 2024 r. do 28 lutego 2025 r. przedsiębiorstwa powinny uwierzytelnić się na portalu ACN (Krajowej Agencji ds. Cyberbezpieczeństwa) przy użyciu swoich danych logowania SPID. W tym okresie użytkownicy wyznaczeni jako /Registration Service.

W szczególności przedsiębiorstwa są zobowiązane do:

Należy wskazać, czy podmiot należy do grupy przedsiębiorstw, oraz podać numer identyfikacji podatkowej spółki dominującej, jeśli ma to zastosowanie.
Proszę wymienić powiązane spółki i podać ich numery identyfikacji podatkowej.
Proszę podać kody ATECO opisujące działalność podmiotu.
Proszę wskazać odpowiednie przepisy sektorowe Unii Europejskiej.
Proszę podać dane dotyczące obrotów, bilansu oraz liczby pracowników w celu określenia kategorii przedsiębiorstwa.
Wymień rodzaje podmiotów, do których należy firma.

Do dnia 17 stycznia 2025 r. operatorzy rejestrów nazw domen najwyższego poziomu, dostawcy usług związanych z systemem nazw domenowych i rejestracją nazw domen, dostawcy usług w chmurze, centra danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa, a także dostawcy platform handlowych online, dostawcy wyszukiwarek internetowych oraz dostawcy platform serwisów społecznościowych powinni zarejestrować się na platformie.

Do dnia 31 marca 2025 r. ACN sporządziło wykaz podmiotów o znaczeniu kluczowym i istotnym na podstawie zgłoszeń otrzymanych za pośrednictwem platformy.

W okresie od 1 kwietnia 2025 r. do 15 kwietnia 2025 r. ACN poinformowała zainteresowane podmioty, czy zostały one umieszczone na liście podmiotów o znaczeniu kluczowym lub istotnym.

Do dnia 15 kwietnia 2025 r. podmioty, które otrzymały zawiadomienie, były zobowiązane do wyznaczenia, w drodze odrębnego aktu, podmiotu odpowiedzialnego za wypełnienie obowiązków wynikających z rozporządzenia.

Następnie podmioty objęte dyrektywą będą musiały spełnić dodatkowe wymogi:

do 1 stycznia 2026 r.; obowiązek zgłaszania zdarzeń
do 1 października 2026 r.; należy wypełnić obowiązki dotyczące organów administracyjnych i środków bezpieczeństwa

Co roku ACN będzie aktualizować listę podmiotów objętych tym wymogiem. Firmy i organy administracji publicznej będą miały możliwość rejestrowania się co roku, w okresie od stycznia do lutego, jeśli uznają, że należą do grona podmiotów objętych tym wymogiem.

Ryzyko dla przedsiębiorstw, ale także szanse

Po wejściu w życie dyrektywy NIS2 i zidentyfikowaniu zainteresowanych operatorów właściwe organy mogą prowadzić nadzór oraz przeprowadzać wyrywkowe kontrole w celu sprawdzenia, czy przestrzegają oni przepisów tej dyrektywy. W przypadku nieprzestrzegania przepisów na zainteresowane przedsiębiorstwa zostaną nałożone kary.

Kary są bardzo surowe: dla dużych przedsiębiorstw – do 10 mln euro lub 2% globalnego obrotu; dla średnich przedsiębiorstw – do 7 mln euro lub 1,4% globalnego obrotu.

Chociaż przestrzeganie przepisów wymaga od przedsiębiorstw wyraźnego wysiłku i nakładów finansowych, należy również zauważyć, że same przepisy mają na celu zapewnienie skutecznego rozwiązania problemu cyberataków, na które włoskie przedsiębiorstwa są nadal bardzo podatne i które często starają się ukrywać ze względu na swój wizerunek. Z ekonomicznego punktu widzenia szacowana średnia wartość szkód spowodowanych pojedynczym cyberatakiem wynosi ponad 2 miliony euro, niezależnie od obrotów danego przedsiębiorstwa.

W jaki sposób ERA może pomóc w zarządzaniu zgodnością z dyrektywą NIS2

Pomimo wszystkich powyższych faktów, które mogłyby sugerować, że przedsiębiorstwa są niezwykle zainteresowane kwestiami cyberbezpieczeństwa i aktywnie się nimi zajmują, nierzadko zdarza się – zwłaszcza wśród małych i średnich przedsiębiorstw – że firmy podjęły O nas niewiele O nas lub nie O nas wcale i obecnie nie są w stanie określić swojego stanowiska w odniesieniu do zagrożeń, na jakie są narażone, zarówno z technicznego punktu widzenia, jak i pod względem zgodności z różnymi obowiązującymi przepisami.

Niektóre firmy rozwiązują kwestię cyberbezpieczeństwa poprzez wykupienie polisy ubezpieczeniowej. Jednak firmy ubezpieczeniowe często niechętnie oferują tego rodzaju ochronę przedsiębiorstwom, które nigdy nie podjęły konkretnych działań w sferze cyberbezpieczeństwa. Wynika to z braku wiarygodnej metody dokładnego oszacowania szkód spowodowanych cyberatakiem. W rezultacie „pakiety NIS2” koncentrują się na usługach oceny ryzyka cybernetycznego, pozostawiając jednak firmom zadanie podjęcia niezbędnych środków w celu wyeliminowania wszelkich luk. ERA może zaoferować bardziej kompleksową usługę, opierając się na sieci wysoko wykwalifikowanych dostawców na bardzo konkurencyjnych warunkach handlowych.

W skrócie: wsparcie ze strony ERA obejmuje:

Ocena struktury organizacyjnej i technicznej przedsiębiorstwa; przy pomocy kwestionariuszy samooceny opartych na z góry określonych wskaźnikach;
Szkolenia uświadamiające i doskonalące; obejmujące kursy podstawowe dla wszystkich pracowników oraz moduły zaawansowane dla kadry kierowniczej wyższego i średniego szczebla; zgodne z wytycznymi NIS2;
Szczegółowe i profesjonalne badania w zakresie analizy podatności; przeciwdziałanie phishingowi oraz ocena ryzyka związanego z oprogramowaniem ransomware;
Wsparcie ze strony wyspecjalizowanych konsultantów na etapie działań naprawczych po przeprowadzeniu oceny;
Specjalistyczne wsparcie ze strony doświadczonych konsultantów, którzy pomogą w podejmowaniu strategicznych decyzji w dziedzinie cyberbezpieczeństwa.

Nasze rozwiązanie obejmuje analizę zgodności z przepisami NIS2, co jest bez wątpienia najpilniejszą kwestią; możemy jednak również wspierać klienta w zarządzaniu projektem na etapie działań naprawczych, czyli na etapie, na którym klient musi usunąć różne „niedociągnięcia” zidentyfikowane w trakcie diagnozy; jest to etap, na którym trudności niektórych firm ujawniają się najsilniej – zarówno pod względem wewnętrznych kompetencji, jak i dostępności czasu oraz zasobów.