Zapraszamy do kontaktu:(+48) 22 113 14 51

Najważniejsze zmiany wynikające z Dyrektywy NIS 2

Jakie są najważniejsze zmiany, które wynikają z dyrektywy Network and Information Security Directive 2?
Autor:
Paulina Ryndak
Corporate Services Senior Consultant
Maria Matyka
Senior Corporate Services Consultant

Dyrektywa NIS 2 to unijna regulacja mająca na celu wzmocnienie poziomu cyberbezpieczeństwa w państwach członkowskich. Więcej na temat założeń dyrektywy oraz podmiotów przeczytają Państwo w pierwszym artykule z cyklu: "Dyrektywa NIS 2 – czym jest i kogo dotyczy?".  

Dyrektywa wprowadza szereg zmian, które mają na celu wzmocnienie mechanizmów zarządzania bezpieczeństwem informacyjnym przedsiębiorstw. Wśród obszarów, które mogą mieć bezpośredni wpływ na funkcjonowanie organizacji znajdują się:

1. Odpowiedzialność organów zarządczych

NIS 2 wprowadza mechanizm, w ramach którego za kwestie zarządzania ryzykiem technologicznym odpowiadają i mogą być pociągnięci do osobistej odpowiedzialności kierownicy, w szczególności członkowie zarządów spółek podmiotów kluczowych lub ważnych. 

Według projektu polskiej ustawy wdrażającej dyrektywę, kara pieniężna, której może podlegać członek zarządu takiej spółki wynosi do 600% otrzymywanego przez niego wynagrodzenia (obliczanego według zasad obowiązujących przy wyliczaniu ekwiwalentu pieniężnego za urlop). Kara ta jest niezależna od kar nakładanych na sam podmiot.

2. Środki techniczne i organizacyjne

NIS 2 kładzie duży nacisk na wprowadzenie zaawansowanych środków technicznych oraz organizacyjnych. Należą do nich m.in.:

  • zaawansowany system detekcji zagrożeń (IDS/IPS) i systemy zarządzania tożsamością, które chronią przed nieautoryzowanym dostępem do zasobów;
  • regularne testy penetracyjne i audyty bezpieczeństwa, które pozwalają na identyfikację słabych punktów w infrastrukturze informatycznej;
  • zarządzanie dostępem, w tym wdrożenie uwierzytelniania wieloskładnikowego oraz ograniczenie dostępu do systemów jedynie dla autoryzowanych użytkowników;
  • szyfrowanie danych wrażliwych, zarówno podczas przesyłania, jak i przechowywania informacji.

Organizacje muszą przyjąć holistyczne podejście do cyberbezpieczeństwa, gdzie wdrożone środki techniczne są regularnie aktualizowane i testowane, aby nadążyć za dynamicznie zmieniającymi się zagrożeniami.

3. Proces zgłaszania incydentów cyberbezpieczeństwa

Sam proces zgłaszania wszelkich incydentów bezpieczeństwa i nieprawidłowości jest bardziej szczegółowy i rygorystyczny. Organizacje będą zobowiązane do:

  • zgłaszania istotnych incydentów cyberbezpieczeństwa w ciągu 24 godzin od ich wykrycia, co ma na celu szybsze reagowanie na potencjalne zagrożenia;
  • zapewnienie pełnego raportu dotyczącego incydentu w ciągu 72 godzin, w którym znajdą się szczegóły dotyczące charakteru incydentu, jego skutków oraz działań naprawczych podjętych przez organizację.

4. Polityki oraz procedury funkcjonujące w organizacji

Dyrektywa Network and Information Systems 2 wymaga, aby organizacje wdrożyły i utrzymywały skuteczne polityki oraz procedury związane z cyberbezpieczeństwem, które obejmują:

  • politykę zarządzania ryzykiem, która definiuje sposób identyfikacji, oceny i zarządzania ryzykiem związanym z cyberbezpieczeństwem.
  • procedury reakcji na incydenty, które określają działania podejmowane w przypadku wykrycia incydentu.
  • regularne szkolenia pracowników z zakresu cyberbezpieczeństwa oraz podnoszenie świadomości zagrożeń związanych z atakami na systemy informacyjne.
Skrócony formularz
Zamów poradę online

Administratorem danych osobowych jest KR GROUP Sp. z o.o. z siedzibą w Warszawie. Twoje dane przetwarzamy, aby skontaktować się z Tobą, odpowiedzieć na wysłane do nas zapytanie lub przygotować wstępną ofertę. Podstawą prawną przetwarzania Twoich danych jest realizacja naszych prawnie uzasadnionych interesów oraz podejmowanie działań zmierzających do zawarcia i wykonania umowy. Przysługuje Ci prawo dostępu do treści Twoich danych, prawo ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do przeniesienia danych, prawo do wniesienia sprzeciwu wobec przetwarzania Twoich danych oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji o przetwarzaniu danych znajduje się pod linkiem: Polityka prywatności.

usersearthmagnifiercrossmenuarrow-right