Dyrektywa NIS2 wprowadza obowiązki dotyczące cyberbezpieczeństwa dla sektorów gospodarki uznanych za krytyczne dla codziennego funkcjonowania przedsiębiorstw i obywateli UE. Podmioty zobowiązane do stosowania nowych przepisów, będą musiały wdrożyć rozwiązania w zakresie zarządzania ryzykiem w cyberbezpieczeństwie, w tym monitorowania i zgłaszania incydentów dotyczących bezpieczeństwa sieci i systemów ICT.
Do 17 października 2024 r. państwa członkowskie UE muszą implementować NIS2 do swoich porządków prawnych.
Kogo dotyczy NIS2?
Istnieją trzy kryteria, na podstawie których określa się podmioty zobowiązane do stosowania dyrektywy NIS2:
- Lokalizacja – jeśli podmiot świadczy usługi lub prowadzi działalność
w dowolnym kraju Unii Europejskiej (niezależnie od tego, czy ma siedzibę w UE, czy nie). - Wielkość – jeśli podmiot można zaklasyfikować jako średnie przedsiębiorstwo, tj. zatrudnia co najmniej 50 pracowników i ma ponad 10 milionów euro przychodów.
- Branża – jeśli podmiot działa w jednym z sektorów objętych NIS2.
Dyrektywa dotyczy podmiotów działających w szczególności w następujących sektorach:
- Energetyka,
- Zdrowie,
- Transport,
- Żywność,
- Produkcja,
- Chemikalia,
- Infrastruktura cyfrowa i dostawcy usług cyfrowych.
Jak przygotować się do NIS2?
Aby osiągnąć zgodność z NIS2, podmioty zobowiązane do jej stosowania powinny m.in.:
- Wdrożyć polityki zarządzania ryzykiem, w tym dokonywać regularnego szacowania ryzyka wystąpienia incydentu,
- Wdrożyć odpowiednie środki techniczne zapewniające bezpieczeństwo systemów IT,
- Zapewnić bezpieczeństwo i ciągłość łańcucha dostaw procesów, produktów i usług ICT,
- Wdrożyć procedury oraz plany awaryjne umożliwiające odtworzenie systemów IT w przypadku cyberataku,
- Zapewnić personelowi szkolenie z zakresu cyberbezpieczeństwa i wdrożyć adekwatną wewnętrzną politykę bezpieczeństwa.
Jakie są kary za niezastosowanie się do NIS2?
Za niewykonywanie obowiązków wynikających z dyrektywy NIS2 przewidziane są sankcje, w tym administracyjne kary pieniężne:
- w odniesieniu do podmiotów kluczowych – w wysokości do 10 milionów euro lub 2% całkowitego rocznego przychodu w poprzednim roku podatkowym, w zależności od tego, która kwota jest wyższa,
- w odniesieniu do podmiotów ważnych – kary w wysokości do 7 milionów euro lub 1,4% całkowitego rocznego globalnego obrotu w poprzednim roku podatkowym, w zależności od tego, która kwota jest wyższa.
Kary pieniężne mogą być nakładane także na osoby kierujące podmiotem zobowiązanym do stosowania NIS2. W takim wypadku osoby te odpowiadają swoim prywatnym majątkiem.
Podsumowanie
Stosowanie się do wymogów NIS2 to nie tylko obowiązek prawny. Wobec rosnącej liczby cyberataków, wdrożenie odpowiednich środków technicznych i organizacyjnych będzie istotne dla kwestii wizerunkowych i finansowych wielu podmiotów gospodarczych. Funkcjonowanie systemu zarządzania cyberbezpieczeństwem może stać się wkrótce standardem rynkowym.
Jak DSK Kancelaria może pomóc?
- Audyt procesów i systemów IT podlegających pod NIS2.
- Opracowanie i wdrożenie odpowiednich polityk, procedur i regulaminów w zakresie zarządzania cyberbezpieczeństwem.
- Wsparcie przy wdrażaniu adekwatnych środków technicznych.
- Regularny audyt wdrożonych procedur i ich aktualizacja.
Zapewnienie zgodności z wymogami NIS2 to ważny krok w ochronie Twojej firmy przed rosnącymi zagrożeniami cybernetycznymi. Zadbaj o bezpieczeństwo i wizerunek swojego przedsiębiorstwa. Skontaktuj się z nami – razem zabezpieczymy przyszłość Twojej firmy!
Osoba kontaktowa: Natalia Cieplińska radca prawny i dyrektor DSK: n.cieplinska@dsk-kancelaria.pl
