NIS2, czyli nowe wymogi dotyczące cyberbezpieczeństwa

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej (Dyrektywa NIS2) weszła w życie 16 stycznia 2023 r. W porównaniu do NIS1 z 2016 r., znacząco poszerza zakres podmiotów objętych regulacją. Kładzie też większy nacisk na wymagania związane z bezpieczeństwem, w tym m.in. kwestie zapewnienia bezpieczeństwa łańcucha dostaw, obowiązki informacyjne oraz mechanizmy kontrolno-nadzorcze ze strony organów państwowych. Ponadto NIS2 ustala podstawowe kryterium do identyfikacji podmiotów (oparte o wielkość przedsiębiorstwa), które będą objęte nowymi regulacjami, a także nowe zasady raportowania incydentów bezpieczeństwa.

Zapytaj o wsparcie w zakresie Dyrektywy NIS2


Dlaczego NIS2 jest ważna?

  • Według wstępnych szacunków PwC, obejmie ponad 6000 podmiotów, działających w 18 sektorach gospodarki, w Polsce.

  • Uspójnia zasady identyfikacji podmiotów – podstawowym kryterium jest wielkość przedsiębiorstwa.
  • Wprowadza dwie kategorie podmiotów regulowanych: kluczowe oraz ważne, które objęte zostaną tymi samymi minimalnymi wymogami bezpieczeństwa.
  • Wprowadza minimalny zakres środków bezpieczeństwa, które  organizacje są zobowiązane wdrożyć, aby zapewnić efektywne zarządzanie ryzykiem.

  • Określa zasady raportowania incydentów poważnych: 24 godz. na przesłanie wczesnego ostrzeżenia oraz 72 godz. na zgłoszenie incydentu, a także obliguje do przekazywania raportów okresowych (na żądanie) i raportu końcowego z obsługi incydentu (po 1 miesiącu od daty zgłoszenia incydentu lub w ciągu miesiąca od zakończenia obsługi incydentu).

  • Uspójnia wymiar kar administracyjnych: 

    • podmioty kluczowe - co najmniej 10 mln EUR lub co najmniej 2% rocznego obrotu;

    • podmioty ważne - co najmniej 7 mln EUR lub co najmniej 1,4% rocznego obrotu. 

Sprawdź, czy Twoja firma będzie objęta dyrektywą NIS2

Odpowiedz na kilka pytań (ankieta jest oparta o zasady określone w dyrektywie NIS2).
Wypełnienie kwestionariusza zajmie Ci mniej niż 5 minut.

{{ currentQuestion.questionText[0] }}
{{ textFragment }}

  • {{ list }}

{{textFragment.linkText}}
{{stopMessage ? stopMessage : endMessage }}
Napisz do nas

Niniejsza ankieta została przygotowana wyłącznie w celach ogólnoinformacyjnych i nie stanowi profesjonalnej porady. Nie powinni Państwo opierać swoich działań lub decyzji na treści informacji zawartych w tej prezentacji bez uprzedniego uzyskania profesjonalnej porady. Nie gwarantujemy (w sposób wyraźny, ani dorozumiany) prawidłowości, ani dokładności informacji zawartych w naszej ankiecie. Ponadto, w zakresie przewidzianym przez prawo polskie, PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k., jej partnerzy, pracownicy, ani przedstawiciele nie podejmują wobec Państwa ani innych osób żadnych zobowiązań oraz nie przyjmują na siebie żadnej odpowiedzialności – ani umownej, ani z żadnego innego tytułu – za jakiejkolwiek straty, szkody ani wydatki, które mogą być pośrednim lub bezpośrednim skutkiem działań lub decyzji podjętych na podstawie informacji zawartych w niniejszej ankiecie

Wszystkie prawa zastrzeżone. W tym dokumencie nazwa "PwC" odnosi się do PwC Advisory spółki z ograniczoną odpowiedzialnością sp.k. firmy wchodzącej w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny.

Kto zostanie objęty regulacją?

W NIS2 wskazano na 18 sektorów gospodarki(w NIS1 - 7 sektorów), z których podmioty (prywatne lub publiczne) będą zobowiązane do wdrożenia wzmocnionych wymagań cyberbezpieczeństwa. Wśród nowych sektorów mamy m.in.:

przedsiębiorców komunikacji elektronicznej

sektor żywności

sektor motoryzacyjny

podmioty administracji publicznej

gospodarowania odpadami

producentów np. komputerów

producentów chemikaliów


Kiedy NIS2 stanie się obowiązującym prawem?

NIS2 weszła w życie 16 stycznia 2023 r. Państwa UE mają obowiązek wdrożyć regulację unijną do krajowego porządku prawnego np. przy pomocy ustawy. Mają na to czas do 17 października 2024 r. Warto pamiętać, że dyrektywa jest minimalną harmonizacją na poziomie UE. Państwa członkowskie będą mogły więc ustanowić dodatkowe wymagania i zasady.


W jaki sposób NIS2 wpływa na Twoją organizację?

NIS2 proaktywnie podchodzi do zarządzania ryzykiem.Podmioty kluczowe i ważne są zobligowane do wdrożenia odpowiednich polityk bezpieczeństwa w celu zapewnienia systematycznej i pogłębionej analizy ryzyka. Polityki te powinny bazować na podejściu uwzględniającym wszelkie możliwe ryzyka, w tym także te związane z bezpieczeństwem fizycznym (all-hazard approach). Środki zarządzania ryzykiem (techniczne, operacyjne i organizacyjne) powinny być proporcjonalne do oszacowanego ryzyka. Monitorowanie oraz reagowanie na potencjalne zagrożenia muszą pokrywać co najmniej te obszary:

  • Zapobieganie, wykrywanie i reagowanie na incydenty
  • Utrzymanie ciągłości działania i zarządzanie kryzysowe
  • Bezpieczeństwo łańcucha dostaw
  • Cyberhigiena oraz szkolenia
  • Bezpieczeństwo sieci i systemów informacyjnych
  • Polityka zarządzania i zgłaszania podatności
  • Bezpieczeństwo zasobów ludzkich, zarządzanie dostępami i aktywami
  • Uwierzytelnianie wieloskładnikowe oraz ciągłe
  • Stosowanie kryptografii i szyfrowania

W jaki sposób PwC może pomóc Twojej organizacji w dostosowaniu się do NIS2?

 

PwC oferuje wsparcie w trakcie całej drogi dostosowania działania firmy do zgodności z NIS2:

Ocena czy Twoja organizacja będzie objęta dyrektywą NIS2

Kompleksowa ocena gotowości organizacji do realizacji obowiązków z NIS2

Zaprojektowanie skrojonych na potrzeby klienta rozwiązań

Wsparcie w procesie wdrożenia środków, które umożliwią pełne dostosowanie firmy do wymogów dyrektywy

Warto już teraz, nie czekając na odpowiednie przepisy krajowe, dokonać oceny gotowości organizacji do minimalnych wymogów określonych dyrektywą NIS2.

Ocena pozwoli zidentyfikować ewentualne luki lub obszary w politykach dot. cyberbezpieczeństwa, które wymagać będą aktualizacji lub wręcz opracowania nowych. Organizacje, które obecnie podlegają pod wymogi dyrektywy NIS1. także powinny dokonać przeglądu polityk oraz procedur, przede wszystkim w zakresie zarządzania ryzykiem oraz obowiązków informacyjnych. Ocena zgodności oraz analiza ewentualnych luk umożliwi przygotowanie kompleksowej strategii dostosowania się do NIS2.


Dyrektywa NIS2

Sprawdź jak możemy pomóc Twojej organizacji

Dyrektywa NIS2

Dowiedz się więcej


Skontaktuj się z nami

Marcin Makusak

Partner, Warszawa, PwC Polska

+48 502 184 718

Email

Karol Okoński

Dyrektor, Warszawa, PwC Polska

+48 694 444 238

Email

Marlena Niewiadomska

Cybersecurity Manager, PwC Polska

+48 519 508 162

Email

Aleksandra Bańkowska

Partner, Adwokat, Warszawa, PwC Polska

Email

Paulina Komorowska-Mrozik

Counsel, radca prawny, PwC Polska

+48 519 504 777

Email

Kamil Kozłowski

Counsel, Head of Compliance and Regulatory / Administrative Disputes, Advocate, PwC Polska

+48 519 507 755

Email

Obserwuj nas