Facebook Linkedin

NIS2 – kolejne kluczowe obszary, które muszą znać organizacje

1. Jakie obowiązki nakłada NIS2 na organizacje?

Dyrektywa NIS2 wprowadza konkretne i mierzalne obowiązki, które obejmują obszary zarządzania, technologii oraz raportowanie incydentów. Nie są to już ogólne „zalecenia” ale wymogi, których spełnienie może podlegać kontroli.

Obowiązki organizacyjne

Dyrektywa NIS2 wprowadza konkretne i mierzalne obowiązki, które obejmują obszary zarządzania, technologii oraz raportowanie incydentów. Nie są to już ogólne „zalecenia” ale wymogi, których spełnienie może podlegać kontroli.

Obowiązki organizacyjne

Organizacje objęte NIS2 muszą wdrożyć systemowe podejście do zarządzania cyberbezpieczeństwem, w tym:

  • formalne zarządzanie ryzykiem cyberbezpieczeństwa,
  • polityki bezpieczeństwa informacji i ciągłości działania,
  • procedury reagowania na incydenty,
  • regularne szkolenia pracowników i kadry zarządzającej,
  • nadzór nad bezpieczeństwem w łańcuchu dostaw.

Kluczowa zmiana polega na tym, że bezpieczeństwo IT przestaje być wyłączną domeną działu technicznego – staje się elementem zarządzania organizacją.

Obowiązki techniczne

NIS2 nie narzuca konkretnych technologii, ale wskazuje obszary, które muszą być zabezpieczone w sposób adekwatny do ryzyka, m.in.:

  • bezpieczeństwo systemów informatycznych i sieciowych,
  • zarządzanie dostępami i tożsamością,
  • kopie zapasowe i odtwarzanie danych,
  • monitoring i wykrywanie incydentów,
  • zabezpieczenia przed atakami

Środki techniczne muszą być proporcjonalne do skali działalności i znaczenia systemów dla ciągłości usług.

Obowiązki raportowe

Jednym z najbardziej wymagających elementów są obowiązki raportowania incydentów:
  • wstępne zgłoszenie incydentu w ciągu 24 godzin,
  • raport szczegółowy w ciągu 72 godzin,
  • raport końcowy po zakończeniu obsługi incydentu.
Wymaga to jasnych procedur, ról i kanałów komunikacji – brak przygotowania organizacyjnego może skutkować opóźnieniami i sankcjami.

2. Odpowiedzialność zarządu i sankcje – co się realnie zmienia?

NIS2 w sposób bezprecedensowy wzmacnia odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo.

Rola zarządu

Zarząd:

  • zatwierdza środki zarządzania ryzykiem cyberbezpieczeństwa,
  • nadzoruje ich wdrożenie,
  • odpowiada za zapewnienie odpowiednich zasobów,
  • musi posiadać wiedzę umożliwiającą świadome podejmowanie decyzji.

Brak zaangażowania zarządu nie jest już usprawiedliwieniem – dyrektywa wprost wskazuje na jego odpowiedzialność.

Sankcje

W przypadku naruszeń możliwe są m.in.:

  • wysokie administracyjne kary finansowe,
  • nakazy wdrożenia określonych środków technicznych i operacyjnych,
  • czasowe zakazy pełnienia funkcji kierowniczych,
  • zwiększony nadzór regulatora.

 

To wyraźny sygnał, że cyberbezpieczeństwo stało się traktowane na równi z innymi obszarami ryzyka regulacyjnego.

3. Jak przygotować organizację do NIS2 i UKSC krok po kroku?

Przygotowanie do NIS2 to proces, a nie jednorazowy projekt.

Krok 1: Identyfikacja statusu organizacji

  • sprawdzenie, czy organizacja jest podmiotem kluczowym lub ważnym,
  • analiza sektora, wielkości i roli w łańcuchu dostaw.

Krok 2: Inwentaryzacja procesów i systemów

  • identyfikacja kluczowych procesów biznesowych,
  • mapowanie systemów IT wspierających te procesy,
  • określenie punktów krytycznych.

Krok 3: Analiza luk

  • porównanie stanu obecnego z wymaganiami NIS2,
  • identyfikacja braków organizacyjnych i technicznych.

Krok 4: Uporządkowanie ról i odpowiedzialności

  • jasne przypisanie odpowiedzialności za bezpieczeństwo,
  • określenie roli zarządu, IT, bezpieczeństwa i biznesu.

Krok 5: Wdrożenie i testy

  • wdrożenia i integracja narzędzi i procedur
  • aktualizacja procedur,
  • szkolenia,
  • testy reagowania na incydenty.


Cykliczna weryfikacja

Po wdrożeniu i testach wymagana jest cykliczna weryfikacja zastosowanych środków organizacyjnych, operacyjnych i technicznych, ustawowo co 3 lata, w praktyce Organizacja powinna dopasować kalendarz weryfikacji zgodnie z własnymi potrzebami.

4. NIS2 a dostawcy IT i łańcuch dostaw – co to oznacza w praktyce?

NIS2 po raz pierwszy tak silnie akcentuje bezpieczeństwo łańcucha dostaw.

Odpowiedzialność nie kończy się na własnej organizacji

Podmioty objęte dyrektywą muszą:

  • oceniać ryzyka związane z dostawcami,
  • weryfikować ich praktyki bezpieczeństwa,
  • uwzględniać cyberbezpieczeństwo w umowach,
  • monitorować kluczowych partnerów.

Co to oznacza dla dostawców IT?

  • większe wymagania kontraktowe,
  • audyty i ankiety bezpieczeństwa,
  • konieczność udokumentowania procesów i zabezpieczeń,
  • presję na standaryzację i formalizację działań.
  •  

W praktyce NIS2 wpływa na cały ekosystem – nawet organizacje formalnie nią nieobjęte mogą zostać „pośrednio” zmuszone do podniesienia poziomu bezpieczeństwa.