Dyrektywa NIS2 (Network and Information Systems Directive 2) to aktualizacja dyrektywy NIS z 2016 roku. Stanowi ona odpowiedź Unii Europejskiej na coraz bardziej zaawansowane cyberzagrożenia i całokształt zmian w cyfrowym świecie. W raporcie KPMG zestawiono szczegółowy przegląd wyzwań, jakie stoją przed podmiotami objętymi nową dyrektywą oraz wskazówek, które mogą pomóc wzmocnić ich zdolności w zakresie budowania cyberbezpieczeństwa.

Wyślij zapytanie ofertowe

Kogo obejmuje nowa regulacja?

Dyrektywa NIS2 wchodząc w życie 16 stycznia 2023 roku uchyliła dotychczas obowiązujący akt prawny z 2016.  Jest to istotny krok na drodze do wzmacniania cyberbezpieczeństwa w organizacjach, które są filarami infrastruktury krytycznej. W związku z nowelizacją aż o dziewięć pozycji rozszerzyła się lista sektorów, branż i obszarów działalności gospodarczej objętych regulacjami bezpieczeństwa cyfrowego. Co istotne, dyrektywa NIS2 ma zastosowanie do podmiotów zarówno publicznych, jak i prywatnych, które świadczą usługi lub prowadzą działalność w UE i jednocześnie spełniają kryteria klasyfikujące je jako średnie przedsiębiorstwa. Według wprowadzonej w nowelizacji klasyfikacji podmioty, których dotyczą nowe przepisy, dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności związane z cyberatakami może spowodować poważne konsekwencje społeczno-gospodarcze, zalicza się więc do nich m.in. również administrację publiczną. Listę sektorów sklasyfikowanych jako kluczowe i ważne zawierają załączniki I i II do dyrektywy.

obszary załączników

Cele dyrektywy NIS2

Unijna spójność

Liczba cyberataków rośnie w coraz szybszym tempie, stąd dynamicznie przybywa też nowych wyzwań w tym obszarze. Pomimo znaczącej poprawy poziomu cyberbezpieczeństwa w Unii Europejskiej po wdrożeniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zaczęła się nasilać. W dużej mierze jest to związane z przyspieszoną transformacją cyfrową społeczeństwa, której początkiem była pandemia Covid-19. Zaobserwowano, że organy odpowiedzialne za cyberbezpieczeństwo mało rygorystycznie podchodziły do kwestii reagowania na incydenty i usuwania ich skutków.

Głównymi problemami, które stanowiły motywację do zmian były:

Niewystarczająca odporność biznesu na cyberataki.

Brak międzynarodowego systemu reagowania na sytuacje kryzysowe.

Niespójne rozumienie głównych zagrożeń i wyzwań z zakresu cyberbezpieczeństwa.

Nieproporcjonalna odporność na cyberzagrożenia wśród państw członkowskich Unii Europejskiej.

Nowe wymogi szansą na rozwój

Wraz z wejściem w życie dyrektywy NIS2 rozpoczął się okres przewidziany na implementację rozwiązań z zakresu cyberbezpieczeństwa w organizacjach objętych regulacją. Termin realizacji wszystkich zmian i odniesienia się do szczegółowych wymogów minie 17 października 2024 roku. Oznacza to, że firmy mają mniej niż 12 miesięcy na przygotowanie własnej polityki organizacyjnej, określenie procedur operacyjnych i wybór technologii wspierających cały proces. Najbliższe miesiące stanowią więc wyjątkową okazję do wzmocnienia odporności organizacji, budowę silniejszych relacji z klientami i dostawcami, jak i dalszej cyfryzacji swojej działalności w świadomy sposób.

Najważniejsze wymagania wobec organizacji

Organy zarządzające podmiotów kluczowych i ważnych są zobowiązane do zatwierdzania środków zarządzania ryzykiem związanym z cyberatakami. Chodzi o środki, które są podejmowane przez te organizacje w celu spełniania wymogów określonych w art. 21. Organy zarządzające mają również nadzorować cały proces i mogą być pociągnięte do odpowiedzialności za naruszanie przepisów. Ponadto nałożony został obowiązek odbywania szkoleń tematycznych z zakresu cyberbezpieczeństwa zarówno dla zarządzających organizacjami, jak i dla ich pracowników.

Kluczowe i ważne organizacje w UE zobowiązuje się do podejmowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberatakami. Niesie to za sobą zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych. Proporcjonalność tych środków należy rozumieć jako odpowiednie dopasowanie narzędzi i działań do skali ryzyka, a także wielkości organizacji i stopnia dotkliwości potencjalnych skutków incydentów.

Incydenty mające istotny wpływ na świadczenie usług przez podmioty kluczowe i ważne, a także tzw. incydenty poważne, zgodnie z dyrektywą NIS2, muszą być zgłaszane bez zbędnej zwłoki właściwemu CERT lub innemu właściwemu organowi. Poważne zagrożenia z zakresu cyberbezpieczeństwa niosą za sobą obowiązek informowania o nich odbiorców usług organizacji mierzącej się z problemem. Cyberzagrożenie uznaje się za poważne, gdy powoduje lub może powodować istotne zakłócenia w świadczeniu usług, straty finansowe dla danego podmiotu, czy też znaczne szkody materialne i niematerialne podmiotów trzecich.

Odpowiednie organy w Unii Europejskiej mogą wymagać od kluczowych i ważnych podmiotów stosowania konkretnych produktów, usług i procesów ICT, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art. 49 rozporządzenia (UE) 2019/881. Dodatkowo państwa członkowskie zobowiązane są zachęcać podmioty kluczowe i ważne do korzystania z kwalifikowanych usług zaufania.

Jak przygotować organizację do wdrożenia zasad zawartych w dyrektywie NIS2?

Wiele organizacji postrzega osiągnięcie zgodności swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. W odbiorze tych podmiotów jest to zbiór zasad, których należy przestrzegać i dążyć do spełnienia wymaganego minimum. W rzeczywistości jednak, zasady przedstawione w ramach znowelizowanego aktu stanowią podstawę i środek do osiągania wyższego poziomu cyberbezpieczeństwa. Odpowiednio skoordynowane i dostosowane regulacje są kluczem do wzmacniania odporności organizacji na cyberataki, ale ich harmonizacja i wdrożenie stanowią wyzwanie dla organów nimi zarządzających. Liderzy biznesowi muszą rozważać wszelkie konsekwencje wprowadzanych procedur, które mogą wpłynąć na dostawców usług i klientów czy innych kluczowych partnerów współtworzących cały łańcuch dostaw. Powinni również nieustannie weryfikować z nowymi przepisami zgodność zachodzących zmian.

W procesie koordynacji rozwoju organizacji w kierunku wzmacniania poziomu cyberbezpieczeństwa warto zadawać kluczowe pytania:

1 Czy organizacja ma wyznaczoną osobę odpowiedzialną za zarządzanie bezpieczeństwem systemów OT i IT?

2 Jak zapewnić wiarygodny wgląd w środowisko OT, aby zidentyfikować potencjalne luki i zagrożenia?

3 W jaki sposób efektywnie nadążać w spełnianiu nowych wymogów?

4 W jaki sposób naprawiać błędy, aby niwelować zindetyfikowane luki i zagrożenia?

Świadomość i właściwa strategia kluczem do sukcesu

Promowanie świadomości o cyberbezpieczeństwie wśród kadry zarządzającej

Przyjęcie nowych przepisów dotyczących cyberbezpieczeństwa powinno być widoczne w agendzie organizacji zarówno pod kątem strategii, jak i budżetu. CISO powinni być informowani o wyzwaniach jakie niesie za sobą dyrektywa NIS2, a odpowiednie struktury organizacji przygotowane do koordynacji działań na zintegrowanej płaszczyźnie systemów OT i IT.

Ustalenie punktu odniesienia i planowanie w oparciu o analizę stanu obecnego

Kluczowe jest identyfikowanie słabych punktów w infrastrukturze organizacji pod kątem podatności na cyberataki. Z uwagi na to, że niektóre zapisy dyrektywy NIS2 mogą wciąż pozostawać niejasne, warto przestrzegać globalnie uznanych standardów branżowych, takich jak IEC 62443, jako bazy przygotowującej organizacje na wdrażanie pełnego zakresu wymagań związanych z nowelizacją dyrektywy.

Wdrażanie przyspieszonego trybu naprawczego w uzasadnionych przypadkach

Warto jak najszybciej wdrażać inicjatywy naprawcze, które mają na celu natychmiastowe wyeliminowanie krytycznych luk w zabezpieczeniach. Skuteczne działanie z perspektywy całokształtu zmian organizacyjnych wdrażanych w świetle dyrektywy NIS2 to nie tylko odpowiednia strategia i długoterminowe cele, ale również budowanie umiejętności szybkiej reakcji na incydenty.

Wskazanie zespołów i osób odpowiedzialnych za całościowe zarządzanie cyberbezpieczeństwem

Nieprzypisanie odpowiedzialności za cyberbezpieczeństwo konkretnym osobom czy zespołom w organizacji może z wysokim prawodpodobieństwem skutkować przeoczeniem zagrożeń. Tematyka cyberbezpieczeństwa w systemach OT nie jest jeszcze w takim stopniu upowszechniona jak ma to miejsce w przypadku systemów IT, a w świetle regulacji NIS2 harmonizacja środków bezpieczeństwa wdrażanych na obu tych płaszczyznach jest konieczna. Ponadto organizacje muszą zmierzyć się z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklają konieczność wskazywania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacjach objętych dyrektywą NIS2.

PDF okładka

Network & Information Security Directive (NIS2)

Doskonalenie możliwości w zakresie bezpieczeństwa IT i OT w świetle NIS2

Pobierz PDF ⤓

Eksperci KPMG odgrywają kluczowe role w procesach transformacji biznesu. Korzystają z najnowocześniejszych technologii wspierając organizacje w kształtowaniu ich przyszłości.

Skontaktuj się z nami

Michał Kurek KPMG w Polsce posty na blogu
Michał Kurek
Partner, KPMG Consulting, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej
KPMG w Polsce
Profil | | Tel
Łukasz Staniak Menedżer, Zarządzanie ryzykiem i audyt wewnętrzny, Cyberbezpieczeństwo posty na blogu
Łukasz Staniak
Dyrektor, KPMG Consulting, Szef Grupy Kompetencyjnej Cyberbezpieczeństwa OT
KPMG w Polsce
Profil | | Tel
Wyślij zapytanie ofertowe

Bądź z nami w kontakcie

Jak możemy pomóc?

Cyberbezpieczeństwo
Cyberbezpieczeństwo

Kompleksowe wsparcie w zakresie cyberbezpieczeńtwa.

Zarządzanie dostępem uprzywilejowanym (PAM)
Zarządzanie dostępem uprzywilejowanym (PAM)

Dostęp uprzywilejowany jest kluczowym aspektem w ochronie i zarządzniu informacją.

Cyberbezpieczeństwo – Ochrona
Cyberbezpieczeństwo – Ochrona

Optymalizacja i transformacja systemów zarządzania cyberbezpieczeństwem.

Cyberbezpieczeństwo – Reakcja
Cyberbezpieczeństwo – Reakcja

Kompleksowe wsparcie przed, w trakcie i po cyberataku.

abstrakcja neonowe plamki
Zarządzanie tożsamością i dostępem (IAM)

Skuteczna ochrona informacji wymaga właściwego administrowania cyfrową tożsamością.

Ochrona danych osobowych
Ochrona danych osobowych

Ochrona danych stała się jednym z trudniejszych i najbardziej wymagających wyzwań.

Publikacje, webinaria i subskrypcje

Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alertu
Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alertu
2 min

W 2022 roku 58% firm w Polsce odnotowało przynajmniej jeden cyberincydent.

Monitor Transformacji Cyfrowej Biznesu. Edycja 2023
Monitor Transformacji Cyfrowej Biznesu. Edycja 2023

Przygotowany przez KPMG indeks transformacji cyfrowej biznesu spadł do 4,4 pkt w 2023 r.

Digitalizacja - Transformacja cyfrowa | KPMG Blog

W okresie, gdy nieustanna zmiana staje się normą, transformacja cyfrowa jest wyzwaniem, któremu konkurujące na rynku firmy muszą sprostać.

Laptop i zestaw słuchawkowy | Link do strony webcasty.kpmg.pl
Webinaria

Eksperci KPMG na bieżąco śledzą zmiany i trendy ważne dla przedsiębiorców prowadzących działalność w Polsce i na świecie.

Żarówka | Zdjęcie przewodnie strony "Rejestracja | Logowanie | Zarządzanie kontem"
Rejestracja | Logowanie | Zarządzanie kontem

Chcesz otrzymywać powiadomienia o publikacjach i wydarzeniach?

Więcej z kategorii cyberbezpieczeństwo