Dyrektywa NIS 2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, jest zrewidowaną wersją Dyrektywy NIS, która została przyjęta w 2016 roku. Dyrektywa NIS 2 wprowadza szereg zmian i rozszerzeń w stosunku do swojej poprzedniczki.
Zakres podmiotowy
Dyrektywie NIS 2 podlegają takie podmioty jak:
- Operatorzy usług kluczowych (OUK): To podmioty, które dostarczają usługę niezbędną do utrzymania krytycznych społecznych i/lub gospodarczych funkcji społeczeństwa. NIS identyfikuje trzy główne sektory, w których mogą występować OUK: infrastruktura energetyczna, transport oraz usługi bankowe i finansowe. Ponadto, państwa członkowskie mogą uznawać za OUK również podmioty z sektorów zdrowia, zaopatrzenia w wodę i infrastruktury cyfrowej.
- Dostawcy usług cyfrowych (DUC): To osoby prawne świadczące usługi cyfrowe, tj. usługi, które są świadczone za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usługi. W rozumieniu polskiej ustawy o krajowym systemie cyberbezpieczeństwa, implementującej dyrektywę NIS, do usług cyfrowych zaliczamy: internetową platformą handlową, wyszukiwarkę internetową lub usługę przetwarzania w chmurze.
- Podmioty publiczne: w tej chwili w jej zakres wchodzą m.in.: CSIRT MON, CSIRT NASK oraz CSIRT GOV, czyli Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie krajowym, prowadzone przez odpowiednie organy.
- Podmioty najważniejsze oraz podmioty ważne: Dyrektywa NIS 2 ma zastosowanie do wszystkich podmiotów, które prowadzą działalność w wymienionych w dyrektywie sektorach gospodarki oraz są uznawane za średnie lub duże przedsiębiorstwa
Wymagania
Na podmioty objęte Dyrektywą zostają nałożone większe niż dotychczas wymagania:
- Zarządzanie ryzykiem: Podmioty muszą wprowadzić odpowiednie i proporcjonalne środki techniczne i organizacyjne do zarządzania ryzykiem.
- Obsługa i ujawnianie luk w zabezpieczeniach: Podmioty muszą mieć procedury na wypadek incydentów bezpieczeństwa, a także procedury umożliwiające identyfikację luk w zabezpieczeniach.
- Testowanie poziomu cyberbezpieczeństwa: Podmioty muszą regularnie przeprowadzać audyty i testy bezpieczeństwa, aby ocenić skuteczność zastosowanych środków.
- Efektywne wykorzystanie szyfrowania: Podmioty muszą stosować odpowiednie techniki szyfrowania do ochrony danych.
- Raportowanie incydentów: Podmioty muszą zgłaszać poważne incydenty bezpieczeństwa do odpowiednich organów krajowych.
- Odpowiedzialność kierownictwa: Kierownictwo firmy jest odpowiedzialne za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.
- Bezpieczeństwo łańcucha dostaw: Podmioty muszą zapewnić bezpieczeństwo swojego łańcucha dostaw.
- Plan ciągłości działania i zarządzania kryzysowego: Podmioty muszą mieć plan ciągłości działania i zarządzania kryzysowego.
- Polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych: Podmioty muszą mieć polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych.
- Polityki testowania i audytu zabezpieczeń: Podmioty muszą mieć polityki testowania
i audytu zabezpieczeń.
Plan ciągłości działania i zarządzania kryzysowego
Plan ciągłości działania (Business Continuity Plan, BCP) to zestaw procedur i informacji, które są niezbędne do przywrócenia produkcji, procesów biznesowych i usług w przypadku wystąpienia np. incydentu cyberbezpieczeństwa. Plan ten powinien zawierać szczegółowe informacje na temat tego, jak organizacja ma reagować na incydenty, które mogą zakłócić jej normalne funkcjonowanie. Powinien on obejmować takie elementy jak procedury awaryjne, plany odzyskiwania danych, a także strategie zarządzania komunikacją w czasie kryzysu.
Zarządzanie kryzysowe to proces identyfikacji potencjalnych zagrożeń dla organizacji i zapewnienia odpowiedzi na te zagrożenia w taki sposób, aby zminimalizować szkody. Zarządzanie kryzysowe obejmuje identyfikację potencjalnych zagrożeń, ocenę ich wpływu na organizację, a następnie opracowanie i wdrożenie planów, które pomogą organizacji poradzić sobie z tymi zagrożeniami.
W praktyce, plan ciągłości działania i zarządzania kryzysowego powinien być regularnie aktualizowany i testowany, aby upewnić się, iż jest skuteczny i iż wszystkie osoby zaangażowane w jego realizację są świadome swoich obowiązków.
Dyrektywa NIS 2 weszła w życie 16 stycznia 2023 r., a Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.