Logowanie

NIS 2 i rozporządzenie wykonawcze 2024/2690 – nowe obowiązki i precyzyjne wymagania wobec organizacji

Czym jest dyrektywa NIS 2?

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (tzw. NIS 2) to rozszerzona wersja wcześniejszej dyrektywy NIS. Jej głównym celem jest zwiększenie odporności cyfrowej infrastruktury krytycznej w UE.

NIS 2:

  • rozszerza katalog podmiotów objętych obowiązkami (np. sektor energetyczny, zdrowie, bankowość, IT, transport, woda),

  • wprowadza surowsze wymagania w zakresie zarządzania ryzykiem i reagowania na incydenty,

  • zwiększa odpowiedzialność zarządów,

  • przewiduje wysokie kary za naruszenia.

Rozporządzenie wykonawcze 2024/2690 – doprecyzowanie art. 21 NIS 2

17 października 2024 r. Komisja Europejska przyjęła rozporządzenie wykonawcze (UE) 2024/2690, które przekłada art. 21 ust. 2 NIS 2 na konkretne, praktyczne wymagania. Dokument ten:

  • doprecyzowuje wymagania z art. 21 ust. 2 NIS 2,
  • ustanawia mierzalne, praktyczne kryteria dla organizacji,
  • określa przypadki, w których incydenty uznaje się za poważne,
  • zawiera 13 obszarów tematycznych ujętych w załączniku.

Kategorie i przykłady poważnych incydentów

Zgodnie z art. 3 rozporządzenia incydent uznaje się za poważny, jeśli spełnia przynajmniej jedno z kryteriów:

  • strata finansowa przekraczająca 500 000 EUR lub 5% rocznego obrotu,
  • wyciek tajemnic przedsiębiorstwa,
  • skutki śmiertelne lub znaczny uszczerbek na zdrowiu,
  • złośliwy, nieuprawniony dostęp powodujący zakłócenia operacyjne,
  • spełnienie innych szczegółowych kryteriów z art. 4–14 rozporządzenia.

Rozporządzenie określa również poważne incydenty w odniesieniu do konkretnych dostawców:

  • Art. 5–14 opisują kryteria m.in. dla: dostawców DNS, TLD, usług chmurowych, data center, sieci CDN, platform handlowych, wyszukiwarek, usług zaufania.

Przykład: Jeśli usługa chmurowa jest niedostępna przez ponad 30 minut lub incydent dotyczy ponad miliona użytkowników – spełnia definicję incydentu poważnego.

13 obszarów tematycznych zarządzania ryzykiem (Załącznik)

Zgodnie z załącznikiem do rozporządzenia, organizacje powinny objąć systemem zarządzania ryzykiem następujące obszary:

  1. Polityka bezpieczeństwa sieci i systemów informatycznych
  2. Polityka zarządzania ryzykiem
  3. Obsługa incydentów
  4. Ciągłość działania i zarządzanie kryzysowe
  5. Bezpieczeństwo łańcucha dostaw
  6. Bezpieczeństwo w cyklu życia ICT
  7. Ocena skuteczności środków technicznych i organizacyjnych
  8. Cyberhigiena i szkolenia
  9. Polityka kryptograficzna
  10. Bezpieczeństwo zasobów ludzkich
  11. Kontrola dostępu
  12. Zarządzanie aktywami
  13. Bezpieczeństwo fizyczne i środowiskowe

Każdy z tych obszarów zawiera szczegółowe wymagania, których spełnienie ma na celu podniesienie poziomu bezpieczeństwa organizacji.

🛡️ Co dalej?

Podmioty objęte dyrektywą NIS 2 (w tym dostawcy usług cyfrowych, infrastruktura krytyczna, sektor zdrowia, transportu, finansów) muszą:

  • wdrożyć konkretne polityki i procedury,
  • przygotować się na audyty i raportowanie,
  • dostosować działania do 13 obszarów z załącznika,
  • zbudować system wykrywania, analizowania i raportowania incydentów.

Potrzebujesz wsparcia?

Centrum Audytu Bezpieczeństwa i Platforma Cyberbezpieczeństwa wspierają organizacje we wdrażaniu wymogów NIS 2 – od analizy ryzyka po szkolenia, polityki, procedury i testy odporności.

📩 Skontaktuj się z nami, jeśli chcesz sprawdzić, czy Twoja organizacja jest gotowa na NIS 2 – zanim zrobi to regulator.