Czy Państwa organizacja podlega pod NIS2?

Zachęcamy Państwa do zamówienia darmowej konsultacji, aby sprawdzić czy Państwa organizacja podlega pod NIS2.

Kary za nieprzestrzeganie NIS2

Za nieprzestrzeganie postanowień NIS2 grożą wysokie administracyjne kary pieniężne. Dla podmiotów kluczowych kary mogą sięgać do 10 mln EUR lub 2 % globalnego rocznego obrotu, a dla podmiotów ważnych do 7 mln EUR lub 1,4 % globalnego rocznego obrotu. Oprócz sankcji wobec podmiotu, Dyrektywa przewiduje również osobistą odpowiedzialność władz podmiotów kluczowych i ważnych. Zgodnie z założeniami, przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

Podleganie pod NIS2

NIS2 ma zastosowanie do podmiotów publicznych lub prywatnych, podzielonych na dwie kategorie (podmioty kluczowe i podmioty ważne), które kwalifikują się jako średnie lub duże przedsiębiorstwa oraz które świadczą usługi lub prowadzą działalność w Unii. Podstawowa zasada mówi, że Dyrektywa NIS2 ma zastosowanie do podmiotów kwalifikujących się co najmniej jako średnie przedsiębiorstwa, czyli: - zatrudniają co najmniej 50 osób oraz - osiągają roczny obrót przekraczający 10 mln euro lub roczną sumę bilansową powyżej 10 mln euro, a także świadczą usługi bądź prowadzą działalność na terenie Unii Europejskiej.

Uwaga: niektóre podmioty (np. operatorzy usług kluczowych w energetyce) podlegają NIS2 niezależnie od wielkości.

Jakie branże obejmuje NIS2?

Zarówno podmioty kluczowe, jak i ważne muszą wdrożyć środki cyberbezpieczeństwa, ale te pierwsze podlegają surowszemu nadzorowi.

Podmioty kluczowe: Energetyka, Transport, Finanse, Zdrowie, Infrastruktura cyfrowa, Administracja publiczna, Przestrzeń kosmiczna

Podmioty ważne: Usługi pocztowe i kurierskie, Odpady, Chemikalia, Żywność, Urządzenia medyczne, Produkcja kluczowych wyrobów, Dostawcy usług cyfrowych, Sektor badawczo-rozwojowy

Uwaga: państwa członkowskie mogą dodatkowo rozszerzać lub zawężać listę podmiotów objętych NIS2.

Ważne zmiany w stosunku do NIS1

Dyrektywa NIS2 jest kontynuacją Dyrektywy NIS z lipca 2016 r., a obowiązującej od 2018 r., która została zaimplementowana do polskiego porządku prawnego ustawą z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa. Dyrektywa NIS2 również wymaga uchwalenia odpowiedniej ustawy krajowej, jednak na ten moment wciąż trwają prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC).

Dyrektywa NIS2, poza określeniem szerszego katalogu podmiotów podlegających, wskazuje również minimalny wymagany katalog środków technicznych, operacyjnych i organizacyjnych służących do zarządzania ryzykiem IT. Są to takie elementy jak:

• Polityka analizy ryzyka i bezpieczeństwa systemów informatycznych
• Obsługa incydentów
• Ciągłość działania, w tym backupy i przywracanie oraz zarządzanie kryzysowe
• Bezpieczeństwo łańcucha dostaw, w tym relacje z dostawcami i usługodawcami
• Bezpieczeństwo nabywania, rozwoju i utrzymania sieci oraz systemów IT (uwzględniając zarządzanie podatnościami)
• Polityki i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
• Podstawowa cyberhigiena i szkolenia z cyberbezpieczeństwa
• Polityki i procedury stosowania kryptografii i szyfrowania
• Bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami
• Uwierzytelnianie wieloskładnikowe (lub równoważne rozwiązania)