NIS2, czyli nowe przepisy o cyberbezpieczeństwie – co musisz wiedzieć jako DevOps/SysOps?

Już niedługo zaczną obowiązywać w Polsce nowe przepisy dotyczące cyberbezpieczeństwa. Nakładają one nowe obowiązki na podmioty sektora publicznego i prywatnego, a ich celem jest poprawa odporności na rosnącą skalę zagrożeń cybernetycznych. jeżeli pracujesz jako DevOps, SysOps czy specjalista ds. bezpieczeństwa IT, zmiany te mogą bezpośrednio wpłynąć na Twoje codzienne obowiązki.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 to nowa europejska regulacja, której celem jest wzmocnienie bezpieczeństwa sieci i informacji w całej Unii Europejskiej. Została ona przyjęta jako sukcesor pierwszej dyrektywy NIS z 2016 roku. Celem zmian jest dostosowanie przepisów z zakresu cyberbezpieczeństwa do dzisiejszej rzeczywistości. Wymogi wynikające z unijnych przepisów są w Polsce wdrażane dzięki ustawy o krajowym systemie cyberbezpieczeństwa. Aktualnie realizowane są prace nad nowelizacją polskich przepisów w celu dostosowania ich do nowej, unijnej regulacji.

Kogo dotyczą nowe przepisy?

W porównaniu z aktualnie obowiązującymi przepisami zakres podmiotów objętych nowymi regulacjami został znacznie rozszerzony. W Polsce przepisy te obejmą tzw. podmioty kluczowe i podmioty ważne – czyli te, które zapewniają najważniejsze usługi dla gospodarki i społeczeństwa. Mowa tutaj m.in. o sektorach energetycznym, transportowym, finansowym, zdrowotnym, usług komunalnych, a także o dostawcach usług cyfrowych, takich jak np. dostawcy usług chmurowych. jeżeli Twoja organizacja działa w tych sektorach lub specjalizuje się w świadczeniu usług dla tych branż to z pewnością będzie musiała dostosować swoje procesy do nowych wymogów.

Czego wymaga NIS2?

Nowe przepisy nakładają na podmioty ważne i najważniejsze szereg obowiązków związanych z zarządzaniem ryzykiem i wdrożeniem środków technicznych oraz organizacyjnych w obszarze bezpieczeństwa informacji. najważniejsze obowiązki obejmują:

• procesy zarządzania ryzykiem – objęte przepisami organizacje muszą przeprowadzić analizę ryzyka w swojej działalności, wdrożyć procedury monitorowania zagrożeń oraz wdrożyć adekwatne do zidentyfikowanych zagrożeń zabezpieczenia (np. szyfrowanie, backupy, systemy wykrywania zagrożeń);
• szybsze raportowanie incydentów – podmioty objęte nowymi przepisami będą zobowiązane do wstępnego zgłaszania istotnych incydentów cybernetycznych już w ciągu 24 godzin od ich wykrycia. Sprostanie tym wymogom będzie wymagało lepszej automatyzacji i gotowości do reagowania;
• zarządzanie łańcuchem dostaw – podmioty ważne i najważniejsze będą zobowiązane do weryfikowania swoich kontrahentów, którzy uczestniczą w procesie dostarczania usług przez te podmioty pod kątem tego, czy zapewniają oni wystarczający poziom bezpieczeństwa;
• audyty, szkolenia i zgodność – organizacje podlegające NIS2 będą zobowiązane do regularnego wewnętrznego i zewnętrznego audytowania wdrożonych zabezpieczeń, dokumentowania podejmowanych działań oraz regularnego szkolenia swoich pracowników i kadry zarządzającej z obszaru cyberbezpieczeństwa.

Współpraca między różnymi specjalistami – klucz do zgodności z NIS2

Dla DevOpsów i SysOpsów dostosowanie działalności organizacji do wymagań NIS2 oznacza, z jednej strony, większy nacisk na wdrażanie technicznych rozwiązań służących bezpieczeństwu danych i informacji, ale z drugiej, również wymóg ścisłej współpracy z zespołami prawnymi, compliance czy ochrony danych osobowych. Przeprowadzenie analizy ryzyka oraz implementacja narzędzi technicznych, procedur raportowania czy procesów audytowych wymaga zarówno wiedzy technicznej, jak i zrozumienia regulacji prawnych i umiejętności tworzenia dokumentów opisujących wdrażane rozwiązania. Osoby odpowiadające za techniczne aspekty bezpieczeństwa nie mogą więc działać bez współpracy z osobami, które posiadają wiedzę prawniczą.

Od kiedy będą obowiązywać zmiany?

Przepisy dyrektywy NIS 2 powinny zostać wdrożone do polskiego prawa do 17 października 2024 roku. Na dziś (wrzesień 2024) jest mało prawdopodobne aby termin ten został dochowany. Można więc spodziewać się, iż nowe przepisy wejdą w życie w ciągu najbliższych miesięcy. Od momentu ich wejścia w życie organizacje będą miały maksymalnie 6 miesięcy na sprostanie nowym obowiązkom. To oznacza, iż czasu w wdrożenie zmian nie ma wcale tak wiele i warto już dziś zacząć poważnie myśleć o dostosowaniu Waszych organizacji do tych przepisów. Jest to tym bardziej istotne, iż za brak zgodności grożą surowe kary, dochodzące choćby do – 7 lub 10 mln EUR (w zależności od tego czy dany podmiot jest podmiotem ważnym czy kluczowym).

Artykuł przygotowany w ramach współpracy przez dotlaw.

Nadchodzące eventy