Home / NIS2

Porozmawiajmy! Jesteśmy gotowi na Twój projekt!

Dział handlowy +48 660 427 444 Zapytania ofertowe Dział logistyki
Kontakt

Kontakt

Dział handlowy projekt@vernity.pl +48 660 427 444 Zapytania ofertowe zapytanie@vernity.pl Dział logistyki logistyka@vernity.pl
Vernity Sp. z o.o. ul. Polska 60
60-595 Poznań
NIP: PL7811882931
+48 61 624 34 04 biuro@vernity.pl

NIS2

Dyrektywa NIS2 (Network and Information Security 2) to unijna regulacja dotycząca cyberbezpieczeństwa, która zastępuje wcześniejszą dyrektywę NIS. Dyrektywa NIS2 rozszerza katalog podmiotów objętych regulacjami.

Czym jest dyrektywa NIS2?
Kiedy NIS2 wchodzi w życie?
Kto podlega dyrektywie NIS2?
Jak wdrożyć NIS2?

NIS2 dokumenty

Z czego wynika wprowadzenie dyrektywy NIS2?

Parlament Europejski zatwierdził dyrektywę NIS2 w odpowiedzi na rosnące zagrożenia cybernetyczne i potrzebę wzmocnienia odporności cyfrowej w całej Unii Europejskiej. Stan implementacji pierwszej dyrektywy NIS w poszczególnych państwach członkowskich pozostawiał wiele do życzenia. Wobec sytuacji geopolitycznej, konieczności wzmocnienia bezpieczeństwa cyfrowego opracowano nowe wytyczne o nazwie NIS2. Krytyczna infrastruktura, jak energetyka, transport czy opieka zdrowotna, będzie zdecydowanie lepiej chroniona. Unijna dyrektywa NIS2 obejmuje również więcej sektorów i firm niż jej wcześniejsza wersja, ujednolica standardy cyberbezpieczeństwa w całej UE i wprowadza większą odpowiedzialność zarządów firm za cyberbezpieczeństwo.

Dyrektywa NIS2 dokumentacja

Czym jest dyrektywa NIS2?

 

Kiedy NIS2 wchodzi w życie?

 

Jak wdrożyć NIS2?

 

Kto podlega dyrektywie NIS2?

Czym jest dyrektywa NIS2 i jakie są przesłanki jej wprowadzenia?

Dyrektywa NIS2 (Network and Information Security Directive) to unijne przepisy mające na celu poprawę poziomu cyberbezpieczeństwa w krajach członkowskich. NIS2 zostanie w Polsce transponowany do prawa krajowego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) i oczekuje się, że wejdzie ona w życie w Q1 2025 r.

 

Stan implementacji pierwszej dyrektywy NIS w poszczególnych państwach członkowskich pozostawiał wiele do życzenia. Wobec sytuacji geopolitycznej, konieczności wzmocnienia bezpieczeństwa cyfrowego opracowano nowe wytyczne o nazwie NIS2. Krytyczna infrastruktura, jak energetyka, transport czy opieka zdrowotna, będzie zdecydowanie lepiej chroniona. Unijna dyrektywa NIS2 obejmuje również więcej sektorów i firm niż jej wcześniejsza wersja, ujednolica standardy cyberbezpieczeństwa w całej UE i wprowadza większą odpowiedzialność zarządów

 

NIS2 wprowadza więc bardziej rygorystyczne niż dotychczas wymagania dla większej liczby kluczowych sektorów gospodarki. Nowością jest objęcie wytycznymi po raz pierwszy także bezpieczeństwa łańcucha dostaw, a najważniejsze wytyczne dotyczą konkretnych obowiązków w zakresie monitorowania infrastruktury, wykrywania i reagowania na incydenty bezpieczeństwa.

 

Dyrektywa NIS2 wyróżnia dwie grupy podmiotów, które są objęte nowymi wytycznymi i określa je jako podmioty kluczowe i ważne, a jako ich najważniejsze obowiązki wyróżnia:

 

  • wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zapewnienia bezpieczeństwa systemów informatycznych,

  • zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych,

  • monitorowanie i reagowanie na incydenty bezpieczeństwa,

  • zapobieganie wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

 

Środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami, a w razie ich wystąpienia dyrektywa nakłada obowiązek zgłaszania do określonej instytucji w ściśle określonym czasie i trybie. Podmioty kluczowe i ważne ponadto będą musiały przeprowadzać audyt swojego systemu zarządzania bezpieczeństwem informacji co najmniej raz na dwa lata i przesyłać wyniki audytu do właściwego organu ds. cyberbezpieczeństwa. Podmioty mogą również podlegać ocenie bezpieczeństwa przez właściwy organ lub CSIRT.

Kiedy NIS2 wchodzi w życie?

Dyrektywa NIS2 weszła w życie w 2023 r. zmieniając kształt cyberbezpieczeństwa w Państwach Członkowskich Unii Europejskiej. Oznacza to zdecydowany wzrost podmiotów, które będą zobowiązane zastosować szereg rozwiązań z zakresu cyberbezpieczeństwa.

 

Od daty wejścia w życie Dyrektywy, czyli 16 stycznia 2023 r., Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. Teoretycznie nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.

Jak wdrożyć NIS2?

Wdrożenie dyrektywy NIS2 dzielimy na trzy etapy.

 

Etap 1 – Audyt

 

W pierwszym etapie zbieramy informacje o Państwa organizacji, jest to tzw. audyt „gap 0”. Pozwala on zweryfikować poziom dojrzałości organizacyjnej w zakresie cyberbezpieczeństwa oraz ustalić jakie organizacja ma braki proceduralne i technologiczne. W tym etapie dowiadujemy się de facto od czego zaczynamy i co jest do zrobienia, aby spełnić wytyczne dyrektywy NIS2.

 

Analizie zostaną poddane następujące obszary:

  • Ocena regulacji wewnętrznych w zakresie bezpieczeństwa, w tym polityk, procedur, instrukcji, regulaminów, praktyk i wytycznych,

  • Ocena rodzajów przetwarzanych informacji i organizacja wewnętrznej struktury przedsiębiorstwa.

  • Ocena zagrożeń w stosunku do ryzyka bezpieczeństwa informacji, ocena zabezpieczeń organizacyjnych, ludzkich i fizycznych,

  • Ocena zabezpieczeń technologicznych,

  • Zarządzanie bezpieczeństwem informacji (ISO 27001)

  • Zarządzanie ciągłością działania (ISO 22301),

  • Zbieranie informacji o zagrożeniach dla systemów informacyjnych i ich podatnościach,

  • Monitorowanie systemu informacyjnego oraz zabezpieczenie dokumentacji dotyczącej cyberbezpieczeństwa,

  • Sposób zarządzania incydentami,

  • Identyfikacja obszarów, które wymagają dostosowania do dyrektywy NIS2.

 

Efektem końcowym tego etapu jest raport z wnioskami naprawczymi i zalecenia poaudytowe, ze strategią implementacji.

 

Etap 2 – Przygotowanie i implementacja systemu zarządzania bezpieczeństwem informacji zgodnie z wymogami NIS 2

 

Celem tego etapu jest zaprojektowanie dedykowanych rozwiązań.

 

Zakres usługi:

 

  • szacowanie ryzyka – warsztaty,

  • analiza oraz ocena procesu i wyników szacowania ryzyka,

  • analiza planów postępowania z ryzykiem nieakceptowalnym,

  • identyfikacja systemów informacyjnych niezbędnych do niezakłóconego prowadzenia kluczowej działalności i świadczenia usług – warsztaty.

 

Efekty:

 

  • opis działalności kluczowej przedsiębiorstwa oraz jej kontekstu i uwarunkowań w postaci polityk i procedur wymaganych przez NIS2.

  • szacowanie ryzyka wystąpienia incydentu dla systemów informacyjnych wykorzystywanych do prowadzenia kluczowej działalności i świadczenia usług

  • rejestr ryzyka bezpieczeństwa informacji zawierający zagrożenia dla systemów informacyjnych wykorzystywanych do prowadzenia kluczowej działalności i świadczenia usług wraz z oceną prawdopodobieństwa ich wystąpienia

  • raport z oceny ryzyka wraz z opisem stwierdzonych ryzyk i ich kategoryzacją

  • planowanie i priorytetyzacja działań po uzyskaniu wyników oceny ryzyka jak: unikanie, transfer, zarządzanie, akceptacja

  • analiza wpływu biznesowego – identyfikacja systemów informacyjnych niezbędnych do niezakłóconego prowadzenia kluczowej działalności i świadczenia usług

 

Etap II zakończy się przygotowaniem i opisaniem wszystkich niezbędnych dokumentów, procedur i polityk.

 

Etap 3 – Opracowanie katalogu niezbędnych usług, systemów i narzędzi informatycznych – powstanie BCP (BUSINESS CONTINUITY PLAN)

 

Na tym etapie inżynierowie Vernity, bazując na informacjach uzyskanych w toku projektu, zaproponują dedykowane i dopasowane narzędzia informatyczne. Najważniejszym celem jest podniesienie bezpieczeństwa organizacji i zapewnienie ciągłości działania biznesu.

 

Prace projektowe w tym obszarze skupiają się na następujących celach:

 

1. Spełnienie wytycznych dyrektywy NIS2, wyposażenie w narzędzia pozwalające na:

  • Monitorowanie środowiska informatycznego,

  • Zarządzanie ryzykiem,

  • Wykrywanie i reagowanie na incydenty bezpieczeństwa.

 

2. Zapewnienie redundancji w niezbędnym zakresie.

 

3. Zapewnienie bezpieczeństwa sieci (segmentacja, redundancja, wdrożone odpowiednie polityki bezpieczeństwa i funkcjonalności na urządzeniach sieciowych, poprawność ich konfiguracji zgodnie z najlepszymi praktykami).

 

4. Zapewnienie bezpieczeństwa użytkowników końcowych.

 

5. Posiadanie możliwości odtworzenia danych dzięki środowisku kopii zapasowych (disaster recovery).

Świadczymy kompleksową usługę w ramach dostosowania przedsiębiorstwa do dyrektywy NIS2 i nasz Zespół podejmie się przeprowadzenia Państwa przez cały proces opisany powyżej, składający się z wszystkich etapów.

Kontakt
NIS2 security

Kto podlega dyrektywie NIS2?

Dyrektywa NIS2 obejmuje szeroki zakres podmiotów działających w sektorach uznanych za kluczowe dla funkcjonowania gospodarki i społeczeństwa. Wprowadza ona podział na:

 

1. Podmioty kluczowe (Essential Entities)

Są to organizacje, których działalność jest niezbędna dla funkcjonowania państwa i bezpieczeństwa publicznego.

 

2. Podmioty ważne (Important Entities)

Podmioty ważne to organizacje działające w sektorach istotnych dla gospodarki i społeczeństwa, ale o mniejszym znaczeniu strategicznym niż podmioty kluczowe.

1. Podmioty kluczowe

Obowiązki podmiotów kluczowych:

 

  • Zarządzanie ryzykiem – wdrożenie polityk cyberbezpieczeństwa i stały monitoring.

  • Ścisła kontrola przez organy nadzoru – audyty ex-ante i ex-post.

  • Szybkie raportowanie incydentów – zgłaszanie poważnych cyberataków w ciągu 72 godzin.

  • Szkolenia i testy cyberbezpieczeństwa – regularne symulacje ataków.

  • Sankcje za niezgodność – kary do 10 mln euro lub 2% rocznego obrotu.

2. Podmioty ważne

Obowiązki podmiotów ważnych:

 

  • Analiza ryzyka – firmy muszą ocenić potencjalne zagrożenia i wdrożyć środki ochrony.

  • Zabezpieczenie infrastruktury IT – ochrona systemów przed atakami hakerskimi.

  • Zgłaszanie incydentów – poważne naruszenia muszą być raportowane do organów krajowych.

  • Szkolenia i procedury – obowiązek edukacji pracowników w zakresie cyberbezpieczeństwa.

  • Monitorowanie zgodności – podmioty mogą podlegać kontrolom organów nadzorczych.

Wdrożenie NIS2

Szukasz wsparcia w przygotowaniu Twojej Firmy do wymagań dyrektywy NIS2?
Daj nam o tym znać, skontaktujemy się z Tobą możliwie szybko.