Opinie ekspertów
Czy Twoja organizacja jest gotowa na NIS2?
Już w październiku 2024 w całej Unii Europejskiej zaczną obowiązywać zmiany w świecie cybersecurity związku z dyrektywą NIS2. Na czym polega? Kogo dotyczy? Jak przygotować się do zmian?
Na pytania dotyczące NIS2 odpowiada Adam Przybylski – ekspert odpowiedzialny za kontakt z kluczowymi klientami Safesqr.
Czym jest NIS2?
NIS2 to nowa implementacja wymagań w zakresie cyberbezpieczeństwa, które formalnie weszły już w życie w dniu 16 stycznia 2023. Kraje UE, w tym Polska, mają czas na implementację tej dyrektywy do października 2024. Zmian jest całkiem sporo, więc warto dobrze wykorzystać ten czas.
Co to za zmiany?
Główne z nich to znaczne rozszerzenie zakresu oraz powiększenie obowiązywania na nowe podmioty takie jak administracja publiczna, przemysł, gospodarka odpadami, usługi pocztowe, produkcja chemikaliów i żywności. Znacznie też podniesiono wysokość kar, która teraz wynosi nawet do 10 milionów Euro lub 2% łącznego światowego obrotu firmy.
Co nowego wprowadza NIS2?
NIS2 wprowadza obowiązek stosowania konkretnych rozwiązań w zakresie zarządzania ryzykiem, np. analizy ryzyka i polityki bezpieczeństwa systemów informatycznych, polityki zarządzania incydentami, ciągłości działania i zarządzania kryzysowego, procedur oceny skuteczności zarządzania ryzykiem i bezpieczeństwa.
Jak wiele firm zostanie objętych tą dyrektywą?
Szacowane jest, że w Polsce będzie to nawet kilka tysięcy firm. W porównaniu do kilkuset firm objętych obecnie obowiązującą dyrektywą NIS, jest to bardzo znaczący przyrost. Przepisy stały się obowiązujące dla nowych podmiotów, które dotychczas pozostawały poza tymi regulacjami. Obniżył się też “próg wejścia”, czyli adresatami będą już nawet średnie przedsiębiorstwa, czyli takie które mają powyżej 50 pracowników. Zmianie uległy też nazwy typów podmiotów, wprowadzając podział na sektory kluczowe i ważne.
Jak się przygotować i od czego zacząć?
Jeżeli miałbym coś doradzić, to zacząłbym od sprawdzenia, czy te zmiany będą dotyczyły mojej organizacji. Jeżeli odpowiedź będzie pozytywna, należy wykonać analizę rozbieżności, wskazanie czego brakuje, żeby moja organizacja mogła być zgodna z NIS2 i jej krajową implementacją, w postaci ustawy o krajowym systemie cyberbezpieczeństwa. Istotne jest to, że start obowiązywania dyrektywy w październiku 2024 oznacza, że od tego czasu musimy już spełniać wymagania. Czyli całą pracę, związaną z dostosowaniem do wymagań, powinniśmy wykonać przed tym terminem!
Chcesz sprawdzić czy Twoja organizacja jest gotowa na NIS2?