Według wstępnych szacunków PwC, obejmie ponad 6000 podmiotów, działających w 18 sektorach gospodarki, w Polsce.
Wprowadza minimalny zakres środków bezpieczeństwa, które organizacje są zobowiązane wdrożyć, aby zapewnić efektywne zarządzanie ryzykiem.
Określa zasady raportowania incydentów poważnych: 24 godz. na przesłanie wczesnego ostrzeżenia oraz 72 godz. na zgłoszenie incydentu, a także obliguje do przekazywania raportów okresowych (na żądanie) i raportu końcowego z obsługi incydentu (po 1 miesiącu od daty zgłoszenia incydentu lub w ciągu miesiąca od zakończenia obsługi incydentu).
Uspójnia wymiar kar administracyjnych:
podmioty kluczowe - co najmniej 10 mln EUR lub co najmniej 2% rocznego obrotu;
podmioty ważne - co najmniej 7 mln EUR lub co najmniej 1,4% rocznego obrotu.
Odpowiedz na kilka pytań (ankieta jest oparta o zasady określone w dyrektywie NIS2).
Wypełnienie kwestionariusza zajmie Ci mniej niż 5 minut.
W NIS2 wskazano na 18 sektorów gospodarki(w NIS1 - 7 sektorów), z których podmioty (prywatne lub publiczne) będą zobowiązane do wdrożenia wzmocnionych wymagań cyberbezpieczeństwa. Wśród nowych sektorów mamy m.in.:
przedsiębiorców komunikacji elektronicznej
sektor żywności
sektor motoryzacyjny
podmioty administracji publicznej
gospodarowania odpadami
producentów np. komputerów
producentów chemikaliów
NIS2 weszła w życie 16 stycznia 2023 r. Państwa UE mają obowiązek wdrożyć regulację unijną do krajowego porządku prawnego np. przy pomocy ustawy. Mają na to czas do 17 października 2024 r. Warto pamiętać, że dyrektywa jest minimalną harmonizacją na poziomie UE. Państwa członkowskie będą mogły więc ustanowić dodatkowe wymagania i zasady.
NIS2 proaktywnie podchodzi do zarządzania ryzykiem.Podmioty kluczowe i ważne są zobligowane do wdrożenia odpowiednich polityk bezpieczeństwa w celu zapewnienia systematycznej i pogłębionej analizy ryzyka. Polityki te powinny bazować na podejściu uwzględniającym wszelkie możliwe ryzyka, w tym także te związane z bezpieczeństwem fizycznym (all-hazard approach). Środki zarządzania ryzykiem (techniczne, operacyjne i organizacyjne) powinny być proporcjonalne do oszacowanego ryzyka. Monitorowanie oraz reagowanie na potencjalne zagrożenia muszą pokrywać co najmniej te obszary:
PwC oferuje wsparcie w trakcie całej drogi dostosowania działania firmy do zgodności z NIS2:
Ocena czy Twoja organizacja będzie objęta dyrektywą NIS2
Kompleksowa ocena gotowości organizacji do realizacji obowiązków z NIS2
Zaprojektowanie skrojonych na potrzeby klienta rozwiązań
Wsparcie w procesie wdrożenia środków, które umożliwią pełne dostosowanie firmy do wymogów dyrektywy
Ocena pozwoli zidentyfikować ewentualne luki lub obszary w politykach dot. cyberbezpieczeństwa, które wymagać będą aktualizacji lub wręcz opracowania nowych. Organizacje, które obecnie podlegają pod wymogi dyrektywy NIS1. także powinny dokonać przeglądu polityk oraz procedur, przede wszystkim w zakresie zarządzania ryzykiem oraz obowiązków informacyjnych. Ocena zgodności oraz analiza ewentualnych luk umożliwi przygotowanie kompleksowej strategii dostosowania się do NIS2.
Sprawdź jak możemy pomóc Twojej organizacji
Dowiedz się więcej
Partner, Adwokat, Warszawa, PwC Polska
Kamil Kozłowski
Counsel, Head of Compliance and Regulatory / Administrative Disputes, Advocate, PwC Polska
+48 519 507 755