Dyrektywa NIS 2

Dyrektywa NIS 2 to dyrektywa UE, której celem jest zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Zastępuje ona poprzednią dyrektywę NIS z 2016 r. i zaostrza wymogi bezpieczeństwa, uwzględnia bezpieczeństwo łańcuchów dostaw oraz wprowadza zharmonizowane kary. Dyrektywa NIS 2 została przyjęta przez Parlament Europejski i Radę UE pod koniec 2022 r. i obowiązuje w UE od 18.10.2024 r. Państwa członkowskie muszą dokonać transpozycji dyrektywy do prawa krajowego.

Dyrektywa NIS 2 wprowadza przede wszystkim wymagania dla firm.

Podczas gdy Dyrektywa NIS 1 dotyczyła głównie infrastruktury krytycznej i dostawców odpowiednich usług cyfrowych, Dyrektywa NIS 2 rozszerza zakres na inne sektory, włączając m.in. branżę produkcyjną, w tym: produkcję maszyn, urządzeń do przetwarzania danych, produktów elektronicznych i optycznych, sprzętu elektrycznego, pojazdów silnikowych i części pojazdów silnikowych, a także wszelkich innych pojazdów. W ramach tych branż dyrektywa obejmuje przedsiębiorstwa zatrudniające ponad 50 pracowników lub osiągające roczny obrót powyżej 10 milionów euro.

W celu osiągnięcia zgodności z normą NIS 2 organizacje muszą podjąć szereg działań w zakresie:

• Zarządzania ryzykiem: Wdrożenie procesów mających na celu identyfikację i ocenę ryzyka.
• Środków bezpieczeństwa: Podjęcie środków technicznych i organizacyjnych mających na celu ograniczenie ryzyka.
• Raportowania incydentów: Ustanowienie procedur raportowania zdarzeń związanych z bezpieczeństwem do właściwych organów.
• Monitorowania i audytów: Regularny przegląd i ocena środków bezpieczeństwa.

Spełnienie wymogów Dyrektywy NIS 2 egzekwują organy krajowe państw członkowskich UE, które odpowiadają za monitorowanie i zapewnianie zgodności z dyrektywą. W Niemczech organem właściwym jest Federalny Urząd ds. Bezpieczeństwa Informacji (BSI).

Sposób egzekwowania:

1. Obowiązki w zakresie raportowania: Firmy mają obowiązek raportować incydenty związane z bezpieczeństwem. Dyrektywa NIS 2 wprowadza trójstopniowy system raportowania w celu zwiększenia przejrzystości i szybkości reakcji.
2. Środki nadzoru: Niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) rozszerzył uprawnienia do przeprowadzania audytów i kontroli zgodności z wymogami bezpieczeństwa.
3. Kary: Niezastosowanie się do wymogów dyrektywy może skutkować karami, których wysokość zależy od powagi naruszenia.

Wsparcie i doradztwo:
Urząd BSI oferuje zainteresowanym firmom wsparcie i doradztwo w toku wdrażania wymogów Dyrektywy NIS 2. Firmy powinny jak najszybciej podjąć proaktywne działania w celu podniesienia bezpieczeństwa IT oraz przygotować się na nowe wymagania. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) udostępnia wiele przydatnych informacji na temat cyberbezpieczeństwa.

Dyrektywa NIS 2, Cyber Resilience Act i Rozporządzenie w sprawie maszyn to składowe ram regulacyjnych UE mających na celu zwiększenie odporności systemów na cyberzagrożenia. Dyrektywa NIS 2 koncentruje się na bezpieczeństwie sieci, systemów informatycznych i wymogach na poziomie korporacyjnym, natomiast Cyber Resilience Act ma na celu poprawę cyberbezpieczeństwa produktów wyposażonych w elementy cyfrowe. Dopełnieniem tych środków jest Rozporządzenie w sprawie maszyn, które określa wymagania bezpieczeństwa dla maszyn i wyrobów przemysłowych.

• Dodatkowe specyfikacje w zakresie bezpieczeństwa przemysłowego (w tym IEC 62443)
• Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)