NIS2 - zegar tyka ... - Sebastian Paczkowski

Dni

Godziny

Minuty

Sekundy

Zegar tyka, zakres obowiązków nie zniknie, bez względu na formę implementacji do prawa krajowego:

do 17 października 2024 r. wymagana jest implementacja do prawa krajowego (nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa lub uchwalenie nowej)
dyrektywa ma charakter obligatoryjny, rozszerza zakres podmiotów, nie będę wydawane decyzje administracyjne, jak to było w NIS/KSC. Obejmuje wszystkie przedsiębiorstwa określone w ramach Dyrektywa (EU) 2022/2555 kwalifikujące się jako średnie przedsiębiorstwa + działają w sektorach + świadczą usługi wymienione w dyrektywie.
przedsiębiorstwa działające w grupie „podmiotów kluczowych” otrzymały lub otrzymują decyzje administracyjne w ramach aktualnie obowiązującego trybu NIS/KSC i są zobowiązane do realizacji obowiązków wynikających z UKSC.
w ramach NIS2 podmioty nie będą otrzymywać decyzji administracyjnych, co w konsekwencji nie zwalnia z wdrożenia, udokumentowania i wykazania zgodności. Obowiązuje zasada wielkości tj. „size cap” – podmioty, które klasyfikujemy jako przedsiębiorstwa średnie, działające w sektorach wskazanych w dyrektywie, świadczące usługo lub prowadzą działalność określoną w ramach dyrektywy.
wyłączenia: mikro i małe, średnie przedsiębiorstwo, zatrudnienie mniej niż 250 osób, obrót roczny poniżej 50mln EUR
dyrektywa NIS2 zastąpi obecnie obowiązującą dyrektywę NIS funkcjonującą w Polsce w ramach UKSC – Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która stanowi implementację unijnej Dyrektywy NIS do porządku krajowego (obowiązuje od 28 sierpnia 2018 roku).

Unijny dokument źródłowy NIS2
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555

Projekt zmiany ustawy o KSC (datowany na dzień 12.10.2021) – mający wciąż status do rychłego procedowania …
źródło i pełny teks: BIP Minister Cyfryzacji
https://mc.bip.gov.pl/fobjects/download/834945/ust_zm-_ksc-oraz-pzp_20200907_uzg-pdf.html

dokument wart uwagi, który wskazuje min. siatkę płac i kosztów, które można uwzględniać jako punkt wyjścia przy przy budowie własnego SOC.

Ustawa KSC
https://www.dziennikustaw.gov.pl/DU/rok/2018/pozycja/1560

Rozszerzenie katalogu podmiotów objętych dyrektywą tj.

podmioty kluczowe to energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami OCT, administracja publiczna, przestrzeń kosmiczna
podmioty ważne to usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja/przetwarzanie i dystrybucja żywności, produkcja, dostawcy usług cyfrowych, badania naukowe
klasyfikacja i definicje https://cybersec360.pl/ksc/

Szablon sprawozdania z kontroli + Kary

KSC – szablon sprawozdania z kontroli
https://cybersec360.pl/szablon-audytu-ksc-nis-nis2/
Kary
Dyrektywa określa maksymalną wysokość kar za naruszenie obowiązków związanych ze środkami zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszania incydentów:

dla podmiotów kluczowych – 10 000 000 euro
lub
co najmniej 2% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa)
dla podmiotów ważnych – 7 000 000 euro
lub
co najmniej 1,4% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa).

Dodatkowe cenne źródła informacji
NASK/CERT POLSKA
https://cyberpolicy.nask.pl/category/w-toku-negocjacji/dyrektywa-nis2/

NIS 2 RAPORT KANCELARII MARUTA WACHTA – Cyberbezpieczeństwo – krajobraz regulacyjny przed implementacją dyrektywy – bardzo dobre opracowanie dostępne publicznie na stronach:

https://federacjaprzedsiebiorcow.pl/ zakładka raporty + cyberbezpieczeństwo

Zgłaszanie incydentów w ramach Jednostek Samorządu Terytorialnego

https://cybersec360.pl/zglaszanie-incydentow-w-jst-jednostki-samorzadu-terytorialneg

SOC – dobre praktyki i rekomendacje ENISA
https://cybersec360.pl/csirt-soc-dobre-praktyki-i-rekomendacje-enisa/

Kompendium założeń KSC żródło gov.pl

https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-

Kompendium ENISA – Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji
https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new

odpowiedzialność zarządów

- zatwierdza środki zarządzania ryzykiem
- nadzoruje wdrożenie/odpowiedzialność za niezgodność
- uczestniczy i dokumentuje udział w szkoleniach
- kara pieniężna za brak implementacji postanowień
- tymczasowy zakaz pełnienia funkcji kierowniczych, w tym na poziomie kadry zarządzającej wyższego szczebla.

przegląd postów

zmiany w TISAX ISA v6 – optyka na OT/ICS

Raport ataki DDoS – perspektywa operatora telekomunikacyjnego

Fundamenty bezpieczeństwa

Inspiracja – praca w cybersecurity

Kawa z biznesem – jak zacząć budować cyberodporność

Raporty dostawców technologii cybersecurity

Cert & Csirt

Vendors live attacks map – mapy ataków, cyberzagrożenia online

Incydent? podejrzenie popełnienia przestępstwa? naruszenie ochrony danych osobowych – gdzie, jak zgłosić, formularze, instrukcje, dane kontaktowe

Do ulubionych – www, blogi, serwisy warte uwagi

NIS2 – zegar tyka …

odpowiedzialność zarządów