Unia Europejska wzmacnia poziom cyberbezpieczeństwa

Szczegóły

Kategoria: Informacje

Opublikowano: piątek, 03, luty 2023 16:50

DEKRA

Unia Europejska wprowadza nowe regulacje dotyczące cyberbezpieczeństwa. Celem dyrektywy NIS 2 jest zwiększenie odporności i zdolności reagowania podmiotów z sektora publicznego i prywatnego, a także UE jako całości na cyfrowe zagrożenia dla gospodarki.

Dynamiczny rozwój technologii i cyfryzacja niosą za sobą szanse, ale i zagrożenia. Potencjalne awarie systemów informatycznych wspomagających współczesną gospodarkę np. usługi finansowe czy opiekę zdrowotną mogą powodować wielkie straty finansowe, a nawet prowadzić do zagrożenia zdrowia i życia. Coraz większa częstotliwość takich zjawisk wymusiła wprowadzenie nowych, skuteczniejszych regulacji prawnych. Dyrektywa NIS 2 z 15 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii zastąpi obecną dyrektywę NIS o bezpieczeństwie sieci i systemów informatycznych.

NIS 2 definiuje dwa rodzaje podmiotów objętych nowymi regulacjami – podmioty kluczowe i ważne. Działają one w następujących sektorach gospodarki:

• publiczni dostawcy sieci łączności i świadczący usługi łączności elektronicznej,

• podmioty administracji publicznej,

• usług cyfrowych świadczonych przez platformy sieci społecznościowych,

• centra danych,

• przestrzeń kosmiczna,

• energetyka,

• transport,

• bankowość,

• infrastruktura rynków finansowych,

• opieka zdrowotna,

• dostarczanie wody pitnej,

• ścieki,

• infrastruktura cyfrowa,

• zarządzanie usługami ICT (między przedsiębiorstwami), np.: dostawcy usług zarządzanych,

• producenci produktów uznanych za krytyczne, np. leków, urządzeń medycznych, urządzeń elektrycznych,

• usługi pocztowe i kurierskie,

• gospodarka odpadami,

• produkcja i dystrybucja żywności,

• dostawcy usług cyfrowych, np. internetowych platform handlowych.

Do grupy kluczowych zaliczają się podmioty działające w powyższych obszarach, w których zatrudnienie przekracza 250 pracowników, a roczny obrót wynosi powyżej 10 mln euro. Pozostałe podmioty, niespełniające kryterium wielkości, kwalifikowane są jako podmioty ważne.

- Dyrektywa NIS 2 nakłada na podmioty kluczowe i ważne obowiązek wprowadzenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowanie takiego wpływu. Środki te mają być określane w oparciu o podejście uwzględniające wszystkie zagrożenia. W ramach działań należy uwzględnić m.in. prowadzenie analizy ryzyka, bieżącą obsługę incydentów, opracowanie planu ciągłości działania, stworzenie polityk i procedur w zakresie przeprowadzania audytów zabezpieczeń, a także korzystanie z kryptografii i szyfrowania – wyjaśnia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa DEKRA.

Państwa członkowskie UE zobowiązane są ustanowić szczegółowy wykaz podmiotów kluczowych i ważnych do 27 kwietnia 2025 roku.

W trosce o standardy cyberbezpieczeństwa

Artykuł 25 dyrektywy NIS 2 zachęca także podmioty działające na rynku do stosowania europejskich i międzynarodowych norm istotnych z punktu widzenia cyberbezpieczeństwa m.in. normy ISO/IEC 27000, a w szczególności ISO/IEC 27001:2022.

- Dotyczą one m.in. budowania systemów bezpieczeństwa informacji uwzględniających specyfikę działalności i charakterystykę potencjalnych zagrożeń. Systemy te powinny być certyfikowane pod kątem zgodności z międzynarodowymi standardami. Wśród środków nadzoru i egzekwowania stosowania przepisów przez podmioty kluczowe wskazano dodatkowo uprawnienie podmiotów nadzorujących do wnioskowania o przedstawienie audytu z realizacji praktyk cyberbezpieczeństwa, przeprowadzonego przez wykwalifikowanego audytora – dodaje ekspert DEKRA.

Właściwe organy państw członkowskich mają możliwość nałożenia na podmioty kluczowe i ważne administracyjnych kar pieniężnych w razie naruszenia przepisów. Ich wysokość powinna być proporcjonalna do skali wykroczenia, ale nie większa niż 2% rocznego obrotu lub 10 mln euro.

Nowe przepisy wynikające z dyrektywy NIS 2 zaczną obowiązywać w UE od 18 października 2024 roku.