Co oznacza dyrektywa NIS 2 dla dostawców usług zarządzalnych?

NIS

Dyrektywa NIS została wprowadzona w 2016 roku, aby wzmocnić istniejące normy prawne, nadążyć za rosnącą cyfryzacją i wciąż ewoluującym krajobrazem zagrożeń cybernetycznych. Dyrektywa rozszerzyła zakres zasad na nowe podmioty i sektory, poprawiła odporność i zdolność reagowania na incydenty podmiotów publicznych i prywatnych oraz ustanowiła wspólne zasady mające na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej.

W kolejnych latach stało się jednak jasne, że pierwotne ustawodawstwo zawierało pewne braki, które należało przeanalizować i uzupełnić.

NIS 2

Pierwsza dyrektywa w sprawie bezpieczeństwa sieci i informacji sprawiła, że wiele państw członkowskich interpretowało ją w różny sposób, pozostawiając luki w zabezpieczeniach i kwestionując jej cel. NIS 2 to aktualizacja poprzednich przepisów, która eliminuje braki, określając, jakie praktyki w zakresie bezpieczeństwa cybernetycznego są ważne, jakich niezbędnych dostawców muszą wprowadzić organizacje do 2024 roku, a także w jaki sposób należy zgłaszać naruszenia władzom europejskim.

Jaki jest cel NIS 2?

Kryzys związany z COVID-19 i wynikająca z niego przyspieszona transformacja cyfrowa zmusiły UE do ponownego przeglądu dyrektywy, przeanalizowania wpływu i zidentyfikowania braków stworzonych przez nową erę digitalizacji.

Powołana komisja stwierdziła następujące luki:

• niewystarczający poziom cyberbezpieczeństwa przedsiębiorstw działających w UE,
• niespójna odporność w poszczególnych państwach członkowskich i sektorach,
• niewystarczające wspólnie zrozumienie głównych wyzwań i problemów w UE,
• brak wspólnej reakcji kryzysowej.

Dyrektywa NIS 2 rozszerza podstawę dla środków zarządzania ryzykiem cybernetycznym i obowiązków sprawozdawczych w całej Unii Europejskiej w początkowych sektorach, w tym w energetyce i transporcie. Nowe przepisy obejmują także opiekę zdrowotną i infrastrukturę cyfrową. Rozszerzają one zasady dotyczące ram regulacyjnych i określają mechanizmy skutecznej współpracy na niemal całym kontynencie. Dyrektywa aktualizuje również wykaz sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz zapewnia środki zaradcze i sankcje w celu egzekwowania przepisów.

Kiedy nowe przepisy wchodzą w życie?

W listopadzie ubiegłego roku Rada przyjęła dyrektywę NIS 2 i opublikowała ją w grudniu 2022 roku, oficjalnie zastępując uchylając NIS (2016/1148/WE). Państwa członkowskie muszą włączyć nowe przepisy do prawa krajowego w ciągu 21 miesięcy od opublikowania dyrektywy. Oznacza to, że uchwała wejdzie w życie w październiku 2024 roku.

Kogo dotyczy NIS 2?

Dyrektywa ma zastosowanie do wszystkich firm, dostawców i organizacji, które świadczą podstawowe lub ważne usługi dla europejskiej gospodarki i społeczeństwa.

Przykłady istotnych podmiotów obejmują:

• transport,
• sektor energetyczny,
• bankowość i finanse,
• sektor zdrowotny,
• gospodarkę wodną,
• administrację publiczną,
• dostawców usług zarządzalnych.

Przykłady ważnych jednostek to:

• usługi pocztowe i kurierskie,
• gospodarowanie odpadami,
• produkcja i przetwórstwo chemiczne,
• produkcja żywności,
• produkcja urządzeń medycznych,
• dostawcy usług cyfrowych (np. wyszukiwarki, platformy społecznościowe).

NIS 2 ma również zastosowanie do dostawców spoza wspólnoty, jeśli świadczą oni podstawowe lub ważne usługi na terenie Unii.

NIS 2 pociąga kierownictwo organizacji do:

• zapewnienia przeprowadzania ocen ryzyka cybernetycznego,
• wdrażania technicznych i organizacyjnych środków bezpieczeństwa,
• szkoleń i programów zarządzania ryzykiem.

Ponadto państwa członkowskie muszą zapewnić władzom UE możliwość nakładania grzywien:

• dla podmiotów o kluczowym znaczeniu o wartości co najmniej 10 mln euro lub 2% światowego rocznego obrotu,
• dla ważnych podmiotów o wartości co najmniej 7 mln euro lub 1,4% światowego rocznego obrotu.

Co dyrektywa NIS 2 oznacza dla dostawców usług MSP?

Jak wspomniano wcześniej, NIS 2 zostało stworzone w celu wyeliminowania niedociągnięć poprzednich przepisów.

Obowiązująca dyrektywa wzmacnia i usprawnia wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw poprzez narzucenie podejścia do zarządzania ryzykiem, które zawiera minimalny wykaz podstawowych elementów bezpieczeństwa, jakie należy stosować. Doprecyzowano również przepisy dotyczące procesu zgłaszania incydentów, treści zgłoszeń oraz terminów.

Ponadto komisja proponuje zająć się bezpieczeństwem łańcuchów dostaw i relacji z dostawcami, wymagając od poszczególnych przedsiębiorstw zajęcia się zagrożeniami w tym obszarze.

Co to oznacza dla dostawców usług zarządzalnych (MSP)?

NIS 2 wprowadza zasadę wielkości maksymalnej. Oznacza to, że zostaną nią objęte wszystkie średnie przedsiębiorstwa we wskazanych sektorach.

Przepisy mają na celu ustanowienie minimalnych zasad dotyczących ram regulacyjnych stosowanych przez rządy i przedsiębiorstwa, ustanawiając silniejsze środki bezpieczeństwa cybernetycznego.

Obejmuje to poniższą liczbę praktyk, do których włączenia podmioty i dostawcy będą zobowiązani:

• analiza ryzyka i polityki bezpieczeństwa systemów informatycznych,
• obsługa incydentów,
• ciągłość biznesowa i zarządzanie kryzysowe,
• bezpieczeństwo łańcucha dostaw,
• nabywanie, rozwijanie i utrzymywanie bezpiecznych sieci i systemów,
• ujawnianie luk w bezpieczeństwie,
• zasady i procedury oceny skuteczności środków,
• podstawowe praktyki w zakresie higieny komputera i szkolenia z zakresu cyberbezpieczeństwa,
• zasady i procedury dotyczące korzystania z kryptografii i szyfrowania,
• bezpieczeństwo kadrowe,
• korzystanie z usługi MFA, zabezpieczonej komunikacji i zabezpieczonej komunikacji awaryjnej.

Jak Datto pomoże zachować zgodność z dyrektywą NIS 2?

NIS 2 przewiduje szereg działań związanych z cyberbezpieczeństwem, w szczególności te związane z analizą ryzyka, reagowaniem na incydenty, ciągłością działania i reagowaniem na incydenty.  Datto pomaga rozwiązać te problemy i oferuje szereg rozwiązań, które pomogą zachować zgodność z przepisami i chronić zasoby.

W naszej ofercie mamy rozwiązanie Datto RMM, które zapewnia wgląd w zasoby sieciowe i może zautomatyzować proces zarządzania poprawkami. W ten sposób administratorzy poprawiają sytuację podatności za zagrożenia, co oszczędza czas dzięki automatyzacji zarządzania poprawkami.

Datto oferuje również wiele rozwiązań zapewniających ciągłość biznesową i przywracanie danych po awarii, dzięki czemu firmy po wystąpieniu ataku mogą odzyskać zasoby w rekordowym czasie.

NIS 2 ma na celu wzmocnienie bezpieczeństwa w krytycznych sektorach rządu UE i przedsiębiorstw, które działają w niej lub na jej terenie. Wdrożenie dyrektywy jest obowiązkiem państw członkowskich, które mają uchwalić przepisy ustawowe i wykonawcze w celu jej przestrzegania. Firmy działające w Unii Europejskiej będą musiały przyjrzeć się swoim praktykom i rozwiązaniom w zakresie bezpieczeństwa, aby upewnić się że są zgodne z nowym prawem.

Jesteśmy do twojej dyspozycji i zachęcamy do kontaktu z renata.kuts|ceecloud.pl| target="_blank"|Renatą Kuts|, aby pomóc dobrać odpowiednie rozwiązania zapewniające zgodność z NIS 2.