NIS2 dyrektywa. Kogo dotyczy NIS2?

OFERTA

Audyt NIS2 pomoże zweryfikować czy Twoja organizacja spełnia nowe wymogi bezpieczeństwa

Badania audytowe realizują certyfikowani audytorzy systemów zarządzania bezpieczeństwem informacji (ISO 27001) i ciągłości działania (ISO 22301). Każdy zespół audytorski jest wspierany przez doświadczonych radców prawnych.

Jednoznacznie odpowiemy na pytanie, czy podlegasz pod wymagania dyrektywy NIS2. Profesjonalne wsparcie doświadczonego zespołu przy dostosowaniu Twojej organizacji do wymagań.

Sprawdzimy, czy stosowane w Twojej organizacji procedury i środki bezpieczeństwa są zgodne z wymogami NIS2. Przygotowujemy raporty zgodności oraz rekomendacje.

Wspieramy organizacje w przygotowaniu się do wymagań NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa

DYREKTYWA NIS2

Dyrektywa NIS2 to unijne przepisy mające na celu wzmocnienie cyberbezpieczeństwa w sektorze publicznym i prywatnym.

Nowe regulacje nakładają na firmy obowiązek zapewnienia wysokiego poziomu ochrony przed cyberzagrożeniami. Niezależnie od wielkości Twojej firmy, istnieje szansa, że jesteś objęty tymi przepisami. Oferujemy kompleksowe audyty, które pomogą Ci ocenić, czy Twoja firma spełnia wymogi NIS2.

•

Z naszą pomocą ustalisz, czy podlegasz wymogom dyrektywy NIS2 oraz przygotujesz swoją organizację do jej wymagań

Skorzystaj z naszego doświadczenia

W sposób kompleksowy realizujemy projekty bezpieczeństwa teleinformatycznego (projekt, wdrożenie, utrzymanie) w modelu usługowym as-a-service, w tym w szczególności usługi monitorowania i reagowania na incydenty bezpieczeństwa
w systemach IT.

Referencje

Nasi klienci to duże podmioty o złożonych strukturach. Skontaktuj się z nami i dowiedz się więcej.

CZY PODLEGASZ POD DYREKTYWĘ?

Wykorzystaj nasz formularz do wstępnej, bezpłatnej oceny, czy Twoja organizacja podlega dyrektywie NIS2

Jak przygotować organizację na NIS2 ?

Przygotowanie organizacji do NIS2 obejmuje kilka kluczowych kroków. Pierwszym z nich jest ocena, czy dana organizacja podlega pod wymogi NIS2.

Następnie należy przygotować się do złożenia wniosku o wpis na listę podmiotów kluczowych i ważnych poprzez rejestrację. Kolejnym krokiem jest analiza obecnie realizowanych działań, mająca na celu identyfikację potencjalnych luk i braków.

Na tej podstawie dobiera się odpowiednie środki, które są niezbędne do zapewnienia zgodności z wymogami (compliance). Następnie wdrażane są wymagane rozwiązania, a na koniec przeprowadza się audyt okresowy, który powinien odbywać się co najmniej raz na dwa lata, z pierwszym audytem po 12 miesiącach.

Wyzwania NIS2

Niewystarczające kompetencje po stronie organizacji
Trudności w pozyskaniu specjalistów bezpieczeństwa
Koszt narzędzi niezbędnych do monitoringu bezpieczeństwa
Bardzo krótki czas na przygotowanie procedur i wdrożenie rozwiązań

•

Obowiązki wynikające z dyrektywy NIS2 składają się na kompleksowe podejście do zarządzania ryzykiem cyberbezpieczeństwa. Obejmuje ono zarówno działania prewencyjne, jak i reakcję na incydenty.

Podsumowanie obowiązków, jakie nakładane są na podmioty kluczowe i ważne:

Cykliczna analiza i wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa

Kluczowy proces, który pozwala organizacji na regularne ocenianie poziomu zagrożeń i potencjalnych słabości w systemach informatycznych. Polega na identyfikacji ryzyk, ich ocenie oraz wdrażaniu środków minimalizujących zagrożenia, takich jak technologie ochrony danych, polityki bezpieczeństwa czy odpowiednie procedury. Regularne przeprowadzanie takiej analizy jest niezbędne, aby organizacja mogła dostosować się do dynamicznie zmieniającego się krajobrazu zagrożeń cybernetycznych.

Regularne testowanie (skany bezpieczeństwa) i audyty bezpieczeństwa

Istotne elementy dla oceny skuteczności zarządzania ryzykiem. Skany bezpieczeństwa pozwalają na identyfikację podatności w systemach, które mogą zostać wykorzystane przez cyberprzestępców. Audyty bezpieczeństwa, z kolei, to szeroko zakrojone przeglądy systemów i procedur, które mają na celu ocenę zgodności z przyjętymi normami i standardami bezpieczeństwa. Oba działania powinny być wykonywane cyklicznie, aby nie tylko wykrywać nowe zagrożenia, ale także oceniać skuteczność wdrożonych wcześniej środków ochrony.

Plany ciągłości działania i zarządzania kryzysowego

Mają na celu przygotowanie Twojej organizacji na sytuacje, w których dojdzie do poważnych zakłóceń w funkcjonowaniu systemów informatycznych, takich jak cyberataki, awarie techniczne czy inne kryzysy. Plany te definiują kluczowe działania i procedury, które należy podjąć w sytuacjach kryzysowych, aby zminimalizować przerwy w działalności organizacji i szybko przywrócić pełną operacyjność systemów. Ważnym elementem tych planów jest także zapewnienie odpowiedniej komunikacji wewnętrznej i zewnętrznej podczas kryzysu.

Obsługa incydentów oraz współpraca z CSIRTami sektorowymi

Organizacja musi posiadać procedury pozwalające na szybkie wykrycie i analizę incydentu, a także na zgłoszenie go do odpowiedniego zespołu CSIRT (Computer Security Incident Response Team) w ciągu 24 godzin. Współpraca z tymi zespołami pomaga w koordynacji działań naprawczych i zapobiegawczych, co jest kluczowe dla ograniczenia skutków incydentu.

Cykliczna analiza bezpieczeństwa łańcucha dostaw (due diligence)

Ocena bezpieczeństwa dostawców, partnerów i innych podmiotów, które mają dostęp do zasobów lub systemów organizacji. Tego typu analiza pozwala na wczesne wykrywanie potencjalnych zagrożeń pochodzących z zewnątrz, takich jak nieodpowiednie praktyki bezpieczeństwa u dostawców. Regularne przeprowadzanie due diligence jest kluczowe, aby zapewnić, że organizacja jest chroniona nie tylko od wewnątrz, ale także w kontekście zewnętrznych interakcji.

Szkolenia pracowników z zakresu cyberbezpieczeństwa

Nieodzowny element zarządzania ryzykiem. Pracownicy są często najsłabszym ogniwem w systemie zabezpieczeń, dlatego ich regularne szkolenie w zakresie najlepszych praktyk, zagrożeń cybernetycznych i zasad postępowania w przypadku podejrzanych sytuacji ma kluczowe znaczenie. Świadomość zagrożeń i odpowiednie umiejętności w zakresie reagowania na incydenty znacznie podnoszą poziom bezpieczeństwa w organizacji.

Wykorzystanie kryptografii
i szyfrowania

Techniki zabezpieczające dane przed nieautoryzowanym dostępem. Szyfrowanie zapewnia, że nawet w przypadku przejęcia danych przez nieuprawnione osoby, nie będą one mogły zostać odczytane bez odpowiednich kluczy deszyfrujących. Organizacje powinny stosować kryptografię w celu ochrony poufnych informacji, zarówno w trakcie ich przesyłania, jak i podczas przechowywania.

Kary na podmioty dokonujące naruszeń NIS2

Podmioty kluczowe – w maksymalnej wysokości co najmniej 10 mln EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym, przy czym zastosowanie ma kwota wyższa.

Podmioty ważne – w maksymalnej wysokości co najmniej 7 mln EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym, przy czym zastosowanie ma kwota wyższa Kary okresowe (przymuszające) za każdy dzień opóźnienia w usunięciu naruszeń lub niestosowaniu się do decyzji organów nadzorczych

Kary okresowe (przymuszające) za każdy dzień opóźnienia w usunięciu naruszeń lub niestosowaniu się do decyzji organów nadzorczych

Kary personalne NIS2

Niezależnie od kar administracyjnych na podmiot, za naruszenia może zostać nałożona kara na kierownika podmiotu (każdy z członków zarządu lub członek zarządu odpowiedzialny za NIS2)
Kara finansowa do 600% wynagrodzenia
Tymczasowy zakaz zajmowania stanowiska w podmiocie kluczowym

Umów się na bezpłatną konsultację

EKSPERCI

Tomasz Orłowski Certyfikowany audytor wiodący systemów zarządzania bezpieczeństwem informacji (ISO 27001) i systemów zarządzania ciągłością działania (ISO 22301) z uprawnieniami do przeprowadzania audytów KSC. Certyfikowany inspektor ochrony danych. Od wielu lat zajmuje się obszarem bezpieczeństwa informacji w firmach i instytucjach. Ekspert w obszarze rozwiązań ICT z 20-letnim doświadczeniem w branżach IT i telekomunikacyjnych.

Bartosz Witwicki wpisany na listę radców prawnych 2010 r., od ponad 10 lat świadczy usługi doradcze dla przedsiębiorstw z branży e-commerce i IT, w tym w zakresie prawnych aspektów bezpieczeństwa informacji, doradca of counsel do spraw compliance w zakresie polityki bezpieczeństwa IT i ochrony danych osobowych.

Zespół specjalistów

Nasz zespół składa się z wysoko wykwalifikowanych ekspertów w dziedzinie cyberbezpieczeństwa, a w jego strukturach znajduje się Centrum Operacji Bezpieczeństwa (SOC). Posiadamy specjalistów z certyfikowanymi kompetencjami, potwierdzonymi przez akredytowane jednostki oceniające zgodność, zgodnie z przepisami obowiązującego prawa.

Nasi audytorzy posiadają m.in.:

Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001, przyznany przez akredytowane jednostki zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku.
Certyfikat audytora wiodącego systemu zarządzania ciągłością działania według normy PN-EN ISO 22301, również wydany przez jednostki akredytowane w oparciu o te same przepisy.

Nasze kompetencje i certyfikaty stanowią gwarancję wysokiej jakości świadczonych usług oraz zgodności z międzynarodowymi standardami w zakresie bezpieczeństwa informacji i zarządzania ciągłością działania.

"Podczas audytu eksperci zidentyfikowali obszary, które wymagają dopracowania w naszym systemie zarządzania bezpieczeństwem informacji. Teraz mamy pełniejszy obraz tego, czego nam brakuje i jesteśmy gotowi zaplanować proces przygotowań do wdrożenia wymagań dyrektywy NIS2. Wcześniej nie byliśmy świadomi wszystkich wymagań ani nie mieliśmy pewności czy dyrektywa NIS2 będzie nas dotyczyć. Dalsze kroki ekspertów od NIS2 obejmą niezależny przegląd dokumentacji i procedur, przeprowadzenie badań technicznych oraz zweryfikowanie stanu zabezpieczeń technicznych pod kątem podatności i zgodności z przepisami."
Dyrektor szpitala
jednostka medyczna
"W wyniku audytu zidentyfikowano obszary naszego systemu zarządzania bezpieczeństwem informacji, które wymagają dalszego dopracowania. Dzięki temu jesteśmy teraz w stanie skutecznie zaplanować proces przygotowań do wdrożenia dyrektywy NIS2, mając pełną świadomość braków i wymagań, które musimy spełnić. Choć początkowo nie byliśmy pewni, czy NIS2 będzie nas obejmować, teraz posiadamy jasność w tej kwestii. Kolejnym krokiem, w którym wspierają nas eksperci będzie niezależny przegląd dokumentacji i procedur, przeprowadzenie badań technicznych oraz weryfikacja stanu zabezpieczeń technicznych, szczególnie w zakresie podatności i zgodności z przepisami."
Główny specjalista ds. cyberbezpieczeństwa
branża energetyczna
"Otrzymaliśmy jasną informację, które spółki wchodzące w skład naszej grupy będą podlegać wymaganiom dyrektywy NIS2. Ze względu na bardzo rozbudowaną strukturę biznesową zachodziła obawa, że błędnie zinterpretujemy przepisy pod kątem kwalifikacji do wymogów NIS2. Dzięki wsparciu audytorów oraz zespołu prawnego zyskaliśmy pełen obraz sytuacji i możemy precyzyjnie zidentyfikować obszary wymagające uwagi. Dalsza współpraca będzie obejmowała tworzenie raportów, rekomendacji i procedur związanych z bezpieczeństwem"
Dyrektor ds. cyberbezpieczeństwa
spółka paliwowa

Najczęściej zadawane pytania

Czym jest wymagany przez NIS2 system zarządzania bezpieczeństwem informacji i w jaki sposób go wdrożyć?

Dyrektywa NIS2 wymaga, aby organizacje wdrożyły system zarządzania bezpieczeństwem informacji (ISMS) w celu ochrony infrastruktury i danych. ISMS obejmuje identyfikację ryzyka, tworzenie polityk i procedur, zarządzanie incydentami, zapewnienie ciągłości działania oraz szkolenia pracowników. Wdrożenie ISMS wymaga przeprowadzenia analizy ryzyka, opracowania i wdrożenia odpowiednich środków zabezpieczających, a także regularnego monitorowania i doskonalenia systemu. Organizacje muszą również raportować zgodność z wymogami NIS2 i poddawać się audytom.

Czy NIS2 wymaga uzyskania certyfikacji?

Dyrektywa NIS2 sama w sobie nie wymaga uzyskania certyfikacji, jednak nakłada na organizacje obowiązek wdrożenia odpowiednich środków i procedur bezpieczeństwa. W praktyce może to oznaczać, że organizacje będą dążyć do uzyskania certyfikacji, takich jak ISO/IEC 27001, które potwierdzają zgodność z najlepszymi praktykami w zarządzaniu bezpieczeństwem informacji. Choć certyfikacja nie jest bezpośrednio wymagana przez NIS2, jej uzyskanie może być pomocne w spełnieniu wymogów dyrektywy oraz w wykazaniu zgodności z obowiązującymi standardami wobec organów nadzorczych. Warto zaznaczyć, że poszczególne kraje członkowskie mogą wprowadzić dodatkowe przepisy lub rekomendacje dotyczące certyfikacji w ramach implementacji NIS2.

Ile czasu mamy na dostosowanie się do wymagań NIS2?

Dyrektywa NIS2 została przyjęta przez Unię Europejską 27 grudnia 2022 roku, a państwa członkowskie mają czas do 17 października 2024 roku na jej implementację do krajowych systemów prawnych. Organizacje objęte zakresem dyrektywy będą musiały dostosować się do nowych wymogów zgodnie z terminami określonymi przez prawo krajowe, które może precyzować szczegółowy harmonogram wdrożenia. W praktyce oznacza to, że organizacje mają do połowy października 2024 roku na rozpoczęcie działań związanych z dostosowaniem się do wymagań NIS2, chociaż rzeczywiste terminy mogą zależeć od specyficznych regulacji w danym kraju. Ważne jest, aby organizacje już teraz rozpoczęły przygotowania, aby mieć wystarczająco dużo czasu na pełne wdrożenie niezbędnych środków i procedur.

Obecnie jesteśmy operatorem usługi kluczowej. Czy NIS2 nas obejmie?

Tak, jeśli jesteście obecnie operatorem usługi kluczowej, to NIS2 z dużym prawdopodobieństwem będzie Was obejmować. Dyrektywa NIS2 rozszerza i zaostrza przepisy wprowadzone przez wcześniejszą dyrektywę NIS (Network and Information Security), obejmując szeroki zakres sektorów uznawanych za kluczowe dla funkcjonowania gospodarki i społeczeństwa. Organizacje, które już są operatorami usług kluczowych, muszą spodziewać się, że będą nadal objęte regulacjami NIS2, a także mogą być zobowiązane do spełnienia nowych, bardziej rygorystycznych wymogów dotyczących zarządzania bezpieczeństwem informacji, zgłaszania incydentów i ciągłości działania. Warto jak najszybciej zapoznać się z pełnym zakresem wymogów NIS2 oraz z lokalnymi przepisami wdrażającymi tę dyrektywę, aby odpowiednio przygotować się na nadchodzące zmiany.

W jaki sposób zweryfikować stan gotowości do NIS2?

Tak, jeśli jesteście obecnie operatorem usługi kluczowej, to NIS2 z dużym prawdopodobieństwem będzie Was obejmować. Dyrektywa NIS2 rozszerza i zaostrza przepisy wprowadzone przez wcześniejszą dyrektywę NIS (Network and Information Security), obejmując szeroki zakres sektorów uznawanych za kluczowe dla funkcjonowania gospodarki i społeczeństwa. Organizacje, które już są operatorami usług kluczowych, muszą spodziewać się, że będą nadal objęte regulacjami NIS2, a także mogą być zobowiązane do spełnienia nowych, bardziej rygorystycznych wymogów dotyczących zarządzania bezpieczeństwem informacji, zgłaszania incydentów i ciągłości działania. Warto jak najszybciej zapoznać się z pełnym zakresem wymogów NIS2 oraz z lokalnymi przepisami wdrażającymi tę dyrektywę, aby odpowiednio przygotować się na nadchodzące zmiany.

Ile czasu trwa przygotowanie do NIS2?

Czas potrzebny na przygotowanie się do wymogów NIS2 zależy od kilku czynników, takich jak rozmiar organizacji, obecny poziom zgodności z regulacjami, stopień skomplikowania systemów IT oraz dostępność zasobów. W sumie, przygotowanie do NIS2 może zająć od 6 do 18 miesięcy, zależnie od skali zmian, jakie należy wdrożyć. Ważne jest, aby rozpocząć działania jak najszybciej, aby uniknąć pośpiechu i ryzyka niepełnej zgodności.

Ile kosztuje wdrożenie NIS2?

Koszt wdrożenia NIS2 zależy od rozmiaru organizacji, poziomu obecnej zgodności, zakresu potrzebnych działań oraz korzystania z zasobów wewnętrznych lub zewnętrznych. Może wynosić od kilkudziesięciu tysięcy do kilkuset tysięcy euro, a w niektórych przypadkach nawet przekroczyć milion euro, jeśli wymagane są znaczące inwestycje w infrastrukturę IT i nowe procedury. Dokładną wycenę można uzyskać po wstępnej analizie i konsultacjach z ekspertami.