- Tags:
- nis2,
- critis,
- cyberbezpieczeństwo
NIS2: Robi się POWAŻNIE
Firmy z UE powinny podjąć szybkie działania, aby spełnić rygorystyczne wymogi bezpieczeństwa NIS2. Celem jest nie tylko spełnienie zobowiązań, ale także zapewnienie większego bezpieczeństwa IT, które dotyczące nas wszystkich.
W pigułce
- NIS2 jest dyrektywą UE, która ma zwiększyć cyberbezpieczeństwo infrastruktury krytycznej. Ma zastosowanie do większej liczby firm z różnych branż niż wcześniejsze regulacje NIS.
- Do października 2024 r. wszystkie państwa członkowskie UE muszą wdrożyć te wymogi do przepisów krajowych.
- NIS2 wymaga jasnych standardów cyberbezpieczeństwa, analizy ryzyka, reakcji na incydenty oraz bezpieczeństwa łańcucha dostaw.
Wraz z rosnącą liczbą ataków hakerskich na infrastrukturę krytyczną, Unia Europejska w 2022 roku rozszerzyła zakres środków określonych w dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS), która obowiązuje od 2016 roku. Nowe regulacje NIS2 (UE 2022/2555), mające na celu zwiększenie cyberbezpieczeństwa infrastruktury krytycznej (CRITIS), weszły w życie w tym roku.
Wcześniejsze przepisy NIS dotyczyły organizacji w sektorach: energetycznym, opieki zdrowotnej, transportu, bankowości i usług finansowych, infrastruktury cyfrowej, dostawców usług cyfrowych i zaopatrzenia w wodę. NIS2 obejmuje szerszy zakres firm i instytucji zatrudniających ponad 250 pracowników, osiągających roczne przychody w wysokości 50 mln EUR (54 mln USD) lub aktywach w wysokości 43 mln EUR (46,7 mln USD). Dotyczy to organizacji, których działalność jest uznawana za ważną lub istotną dla gospodarki lub społeczeństwa, takich jak: producenci, przetwórcy i dystrybutorzy żywności, producenci elektroniki, urządzeń medycznych i innych produktów, usługi pocztowe i kurierskie, centra danych, firmy zajmujące się gospodarką odpadami i wiele innych.
Inne organizacje takie jak dostawcy publicznych sieci telekomunikacyjnych, dostawcy usług zaufania, rejestratorzy domen, dostawcy usług DNS (usług zapewniających powiązanie domeny z adresem IP danego serwera) lub wyłączni krajowi dostawcy usług, których zakłócenie może mieć znaczący wpływ na porządek publiczny, bezpieczeństwo lub zdrowie podlegają pod NIS2 niezależnie od ich wielkości.
Czym są branże o znaczeniu strategicznym?
Energetyka, transport, bankowość, infrastruktura rynku finansowego, opieka zdrowotna, dostawcy wody pitnej, oczyszczalnie ścieków, infrastruktura cyfrowa, usługi technologii
informacyjno-komunikacyjnych (ICT), administracja publiczna oraz przestrzeń kosmiczna należą do obszarów uznawanych za wysoce krytyczne w całej Unii Europejskiej.
Na poziomie krajowym wszystkie państwa członkowskie UE muszą wprowadzić ustawowe minimalne wymagania dot. bezpieczeństwa IT do października 2024 roku. W Polsce oznacza to
konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, co powinno nastąpić najpóźniej do 17 października 2024 roku.
Jakie są nowe wymogi?
Podmioty objęte NIS2 będą musiały spełnić jasno określony zestaw wymagań dotyczących analizy ryzyka dla bezpieczeństwa cyfrowego (safety i security), ochrony informacji, oceny i wdrażania środków bezpieczeństwa, reagowania na
incydenty i ich raportowania, zarządzania kryzysowego i szkoleń z zakresu bezpieczeństwa. NIS2 kładzie znacznie większy nacisk na zarządzanie ryzykiem i bezpieczeństwo łańcucha
dostaw.
W kolejnych artykułach na blogu opiszemy, co firmy muszą zrobić, aby spełnić wymagania NIS2 oraz w jaki sposób UEM może pomóc w ich wdrożeniu.
Zminimalizuj ryzyko phishingu
Jedną z najczęściej wykorzystywanych przez cyberprzestępców form ataku jest phishing. Nasza darmowa checklista zawiera łatwe do wdrożenia rozwiązania, które pomogą się przed nim chronić.
- Tags:
- nis2,
- critis,
- cyberbezpieczeństwo