NIS2 – zegar tyka …

Dni
Godziny
Minuty
Sekundy

Zegar tyka, zakres obowiązków nie zniknie, bez względu na formę implementacji do prawa krajowego:

  • do 17 października 2024 r. wymagana jest implementacja do prawa krajowego (nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa lub uchwalenie nowej)
  • dyrektywa ma charakter obligatoryjny, rozszerza zakres podmiotów, nie będę wydawane decyzje administracyjne, jak to było w NIS/KSC. Obejmuje wszystkie przedsiębiorstwa określone w ramach Dyrektywa (EU) 2022/2555 kwalifikujące się jako średnie przedsiębiorstwa + działają w sektorach + świadczą usługi wymienione w dyrektywie.
  • przedsiębiorstwa działające w grupie „podmiotów kluczowych”  otrzymały lub otrzymują decyzje administracyjne w ramach aktualnie obowiązującego trybu NIS/KSC i są zobowiązane do realizacji obowiązków wynikających z UKSC.
  •  w ramach NIS2 podmioty nie będą otrzymywać decyzji administracyjnych, co w konsekwencji nie zwalnia z wdrożenia, udokumentowania i wykazania zgodności. Obowiązuje zasada wielkości tj. „size cap” – podmioty, które klasyfikujemy jako przedsiębiorstwa średnie, działające w sektorach wskazanych w dyrektywie, świadczące usługo lub prowadzą działalność określoną w ramach dyrektywy.
  • wyłączenia: mikro i małe, średnie przedsiębiorstwo, zatrudnienie mniej niż 250 osób, obrót roczny poniżej 50mln EUR
  • dyrektywa NIS2 zastąpi obecnie obowiązującą dyrektywę NIS funkcjonującą w Polsce w ramach UKSCUstawa o Krajowym Systemie Cyberbezpieczeństwa, która stanowi implementację unijnej Dyrektywy NIS do porządku krajowego (obowiązuje od 28 sierpnia 2018 roku).

Projekt zmiany ustawy o KSC (datowany na dzień 12.10.2021)mający wciąż status do rychłego procedowania
źródło i pełny teks: BIP Minister Cyfryzacji 
https://mc.bip.gov.pl/fobjects/download/834945/ust_zm-_ksc-oraz-pzp_20200907_uzg-pdf.html

dokument wart uwagi, który wskazuje min. siatkę płac i kosztów, które można uwzględniać jako punkt wyjścia przy przy budowie własnego SOC.

Rozszerzenie katalogu podmiotów objętych dyrektywą tj.

  • podmioty kluczowe to energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami OCT, administracja publiczna, przestrzeń kosmiczna
  • podmioty ważne to usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja/przetwarzanie i dystrybucja żywności, produkcja, dostawcy usług cyfrowych, badania naukowe
  • klasyfikacja i definicje https://cybersec360.pl/ksc/

Szablon sprawozdania z kontroli  + Kary 

KSC – szablon sprawozdania z kontroli
https://cybersec360.pl/szablon-audytu-ksc-nis-nis2/

Kary

Dyrektywa określa maksymalną wysokość kar za naruszenie obowiązków związanych ze środkami zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszania incydentów:

  • dla podmiotów kluczowych – 10 000 000 euro
    lub
  • co najmniej 2% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa)
  • dla podmiotów ważnych – 7 000 000 euro
    lub
  • co najmniej 1,4% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa).

Dodatkowe cenne źródła informacji
NASK/CERT POLSKA

https://cyberpolicy.nask.pl/category/w-toku-negocjacji/dyrektywa-nis2/

NIS 2 RAPORT KANCELARII MARUTA WACHTA – Cyberbezpieczeństwo – krajobraz regulacyjny przed  implementacją dyrektywy – bardzo dobre opracowanie dostępne publicznie na stronach:

https://federacjaprzedsiebiorcow.pl/ zakładka raporty + cyberbezpieczeństwo

Zgłaszanie incydentów w ramach Jednostek Samorządu Terytorialnego

https://cybersec360.pl/zglaszanie-incydentow-w-jst-jednostki-samorzadu-terytorialneg

SOC – dobre praktyki i rekomendacje ENISA
https://cybersec360.pl/csirt-soc-dobre-praktyki-i-rekomendacje-enisa/

Kompendium założeń KSC żródło gov.pl

https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-

Kompendium ENISA – Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji
https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new

odpowiedzialność zarządów

    • zatwierdza środki zarządzania ryzykiem
    • nadzoruje wdrożenie/odpowiedzialność za niezgodność
    • uczestniczy i dokumentuje udział w szkoleniach
    • kara pieniężna za brak implementacji postanowień
    •  tymczasowy zakaz pełnienia funkcji kierowniczych, w tym na poziomie kadry zarządzającej wyższego szczebla.