NIS2 – co to jest i jak się przygotować?

W maju 2016 r., wyzwaniem spędzającym sen z powiek praktycznie każdego przedsiębiorcy, było Rozporządzenie UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - popularnie zwane jako ochrona danych osobowych - RODO.

Nie inaczej będzie wg mnie w 2024 r., a dokładnie od 18 października br., z uwagi na Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (ang. Network and Information Systems Directive 2 dalej: „NIS2”), która weszła w życie w 2023 r.

Państwa członkowskie UE (a więc i Polska) są zobowiązane do implementacji postanowień ww. dyrektywy NIS2 do krajowego porządku prawnego do 18 października 2024 r.!

Uwaga!

Praktycznie wszystkie podmioty gospodarcze a więc mikro, małe, średnie oraz duże podmioty, o ile tylko zajmują się kluczowymi sektorami gospodarki, oraz ważnymi sektorami, będą musiały dostosować swoją strukturę IT i organizację wewnątrz firmy tak, aby nie dopuścić do ataku na własną infrastrukturę IT.

Z kolei, o ile ona jednak się wydarzy (incydent), trzeba będzie odpowiednio szybko zebrać informacje o incydencie (a więc o naruszeniu bezpieczeństwa IT) i przesłać je do właściwego organu nadzorczego. Podobnie jak dzisiaj z RODO.

Dyrektywa NIS2, dotyczyć będzie jak wspomnieliśmy mikro, małych, średnich i dużych przedsiębiorstw, prowadzących działalność gospodarczą w sektorach kluczowych dla gospodarki takich jak:

• energetyka,
• transport,
• bankowość i infrastruktura rynków finansowych,
• ochrona zdrowia,
• woda pitna, ścieki
• infrastruktura cyfrowa
• zarządzanie usługami ICT,
• podmioty administracji publicznej oraz przestrzeni kosmicznej (tj. podmioty kluczowe).

NIS2, będzie też obowiązywał w zakresie sektorów ważnych dla gospodarki i również dotyczył mikro, małych, średnich i dużych przedsiębiorstw prowadzących działalność w sektorach:

• pocztowym,
• wytwórczym,
• ·żywności,
• zarządzania odpadami,
• chemikaliów,
• dostawców usług cyfrowych oraz research.

Co jednak ważne, za bezpieczeństwo infrastruktury IT odpowiadać będą wszyscy, czy to właściciele firm jednoosobowych jak i członkowie zarządu osób prawnych, w tym również osoby niezajmujące się bezpieczeństwem informacji IT w danym podmiocie!

Tak więc, każdy zajmujący stanowisko zarządcze w firmie powinien wymagać, aby został przeprowadzony odpowiedni audyt infrastruktury IT a następnie szkolenie własne i pracowników a także dopilnować wdrożenia mechanizmów, które pozwolą zminimalizować ryzyko ataku na infrastrukturę własną IT, a tym samym odpowiedzialność właścicieli i członków zarządu, za błędy w raportowaniu ewentualnych incydentów.

Dodamy, że do czasu implementacji NIS2, obowiązuje w Polsce, ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UKSC), która albo będzie znowelizowana, albo doczekamy się nowej ustawy która będzie odpowiadać wymaganiom stawianym przez dyrektywę NIS2.

Nie wiadomo również, czy polski ustawodawca w ramach polskiego procesu implementacji dyrektywy NIS2, zaimplementuje ją w całości, czy też np. rozszerzy katalog środków cyberbezpieczeństwa, których jest 10 a wymienione są w dyrektywie NIS2 (art. 21 ustęp 2 lit. a–j)

Jak by jednak nie postanowił nasz ustawodawca, w dyrektywie NIS2 wskazuje się, że za nieprzestrzeganie NIS2, grozić mogą kary do 10 mln euro lub 2 proc. całkowitego rocznego obrotu firmy.

Działy IT nie będą mogły narzekać na nudę!  ;) 

#dyrektywaNIS2 #NIS2 #NetworkandInformationSystemsDirective2 #RODO #UE #globalnetwork #księgowość #doradztwopodatkowe #ETLGLOBAL #ETLGLOBALPolska #księgowaniepl