
01.09.2023
Akredytacja a certyfikacja – wyjaśnienie istotnych różnic w procesach
Rozróżnienie między akredytacją a certyfikacją Bardzo często zamiennie stosuje się pojęcie akredytacji i...
Skontaktujemy się z Tobą najszybciej jak będzie to możliwe
16.01.2025
Dyrektywa NIS2 stanowi odpowiedź Unii Europejskiej na rosnące zagrożenia cybernetyczne. Ma na celu wzmocnienie ochrony kluczowych sektorów gospodarki i infrastruktury krytycznej poprzez nowe standardy zarządzania ryzykiem i raportowania incydentów. Sprawdź, czy Twoja organizacja jest gotowa na nowe przepisy i dowiedz się, jakie działania należy podjąć, aby skutecznie wdrożyć wymogi NIS2.
Dyrektywa NIS2 (Network and Information Systems Directive 2) to nowelizacja pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa – dyrektywy NIS z 2016 roku. Jej pełna nazwa brzmi: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.
Celem NIS2 jest wzmocnienie ochrony infrastruktury krytycznej w Unii Europejskiej poprzez:
Dyrektywa NIS2 wprowadza szereg nowych obowiązków, m.in.:
Zgodnie z wytycznymi Unii Europejskiej, termin na wdrożenie wymagań minął 17 października 2024 roku. W Polsce podstawą implementacji przepisów NIS2 jest projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), dlatego nowe przepisy zaczną obowiązywać dopiero po jej uchwaleniu.
Dyrektywa NIS2 obejmuje szeroki zakres podmiotów zarówno z sektora publicznego, jak i prywatnego, w tym:
Dyrektywa wprowadza podział na podmioty kluczowe (np. dostawcy usług energetycznych, banki) oraz podmioty ważne (np. dostawcy chmurowi, platformy mediów społecznościowych), które muszą spełnić określone wymagania dotyczące zarządzania ryzykiem i bezpieczeństwem systemów informacyjnych.
Aby spełnić wymagania NIS2, organizacje muszą przeprowadzać audyty systemów pod kątem zgodności z przepisami, opracować plan ciągłości działania oraz zarządzać ryzykiem i zabezpieczać infrastrukturę cyfrową.
Efektywne zarządzanie ryzykiem w organizacjach objętych dyrektywą NIS2 obejmuje systematyczne przeprowadzanie analiz ryzyka, bieżące monitorowanie systemów informatycznych w celu identyfikacji potencjalnych zagrożeń oraz wdrożenie kompleksowych polityk bezpieczeństwa czy procedur awaryjnych, które umożliwiają szybkie reagowanie na incydenty. Nieodzownym elementem jest także organizowanie regularnych szkoleń dla pracowników, zwiększających ich świadomość w zakresie cyberbezpieczeństwa.
Organizacje zobowiązane są do zgłaszania poważnych incydentów bezpieczeństwa do właściwych organów nadzorczych, takich jak CSIRT. Wstępne zgłoszenie powinno nastąpić w ciągu doby od wykrycia incydentu. Na dostarczenie pełnego raportu organizacja ma 72 godziny. Jeśli doszło do zagrożenia, które może wpłynąć na dane osobowe lub dostępność kluczowych usług, konieczne jest niezwłoczne poinformowanie klientów.
Spełnienie wymagań dyrektywy NIS2 wymaga wdrożenia odpowiednich środków ochrony przed zagrożeniami i zarządzania ryzykiem. Organizacje mogą ułatwić sobie prace i dostosować swoje działania do standardów takich jak ISO/IEC 27001, ISO/IEC 27017 oraz ISO/IEC 27018, a następnie przystąpić do procesu ich certyfikacji. Proces certyfikacji na zgodność z NIS2 obejmuje szczegółową analizę ryzyka, wdrożenie niezbędnych środków ochronnych i audyt przeprowadzony przez niezależną jednostkę certyfikującą. Po pozytywnej ocenie organizacja otrzymuje certyfikat potwierdzający zgodność z wymaganiami NIS2, a regularne kontrole pozwalają utrzymać wysokie standardy bezpieczeństwa.
Organizacje muszą zmierzyć się z wieloma wyzwaniami związanymi z wdrożeniem NIS2, w tym z dostosowaniem procedur bezpieczeństwa i zarządzania ryzykiem. Sprawdź, jak krok po kroku, się do tego przygotować.
Przygotowanie organizacji do wdrożenia regulacji NIS2 powinno rozpocząć się od przeprowadzenia szczegółowego audytu bezpieczeństwa, który umożliwia weryfikację skuteczności aktualnego stanu zabezpieczeń systemów informatycznych oraz wykrycie potencjalnych luk i słabości w infrastrukturze IT. Analiza wykrytych nieprawidłowości i ich priorytetyzacja stanowią podstawy do opracowania skutecznych działań naprawczych i minimalizację ryzyka wystąpienia incydentów bezpieczeństwa.
Efektywne zarządzanie bezpieczeństwem systemów operacyjnych (OT) i informatycznych (IT) wymaga zintegrowania ich w jeden spójny plan ochrony. Proces należy zacząć od opracowania wspólnych zasad bezpieczeństwa, które będą uwzględniać specyfikę obu systemów.
Wdrożenie zaawansowanych narzędzi monitorujących zwiększa skuteczność działań prewencyjnych i reakcyjnych, umożliwiając bieżące śledzenie potencjalnych zagrożeń w czasie rzeczywistym. Analiza infrastruktury pod kątem podatności na ataki obejmuje m.in. sprawdzanie, czy urządzenia OT został odpowiednio zabezpieczone przed fizycznym dostępem, a także weryfikację połączeń sieciowych w celu upewnia się, że nie doszło do nieautoryzowanego dostępu.
Dyrektor Działu Certyfikacji Wyrobów Medycznych
CeCert Sp z o. o.