Przedmiotem NIS 2 jest proponowanie środków mających poprawić cyberbezpieczeństwo we wszystkich państwach członkowskich Unii Europejskiej poprzez:

1. Nakładanie obowiązku na państwa członkowskie w celu przyjęcia strategii cyberbezpieczeństwa i ustanowienia właściwych organów, organów zarządzania kryzysowego w obszarze cybernetycznym, punktów kontaktowych oraz Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRTs).
2. Wprowadzenie środków zarządzania ryzykiem cyberbezpieczeństwa oraz obowiązków zgłaszania incydentów dla podmiotów kluczowych i ważnych, a także dla podmiotów uznanych za kluczowe zgodnie z Dyrektywą (UE) 2022/2557.
3. Nakładanie zasad i obowiązków dotyczących udostępniania informacji o cyberbezpieczeństwie.
4. Nakładanie obowiązków nadzorczych i egzekucyjnych na państwa członkowskie.

Podczas gdy NIS1 dotyczył sektorów tak kluczowych jak opieka zdrowotna, energia, transport, infrastruktura cyfrowa czy infrastruktury rynku finansowego, NIS2 obejmuje większą liczbę podmiotów, takich jak sektor spożywczy (produkcja, przetwarzanie i dystrybucja), platformy usług społecznościowych, usługi chmury obliczeniowej i centra danych.

Co istotne, nowe przepisy wprowadzają wyraźny limit wielkości, który wyłącza większość małych i mikroprzedsiębiorstw z zakresu dyrektywy. Głównie przedsiębiorstwa średniej wielkości (zatrudniające ponad 50 pracowników i o rocznym obrocie przekraczającym 10 milionów euro) oraz duże przedsiębiorstwa będą objęte tymi przepisami.

Jednakże pewne organizacje będą podlegać NIS2 bez względu na swoją wielkość, takie jak podmioty świadczące usługi rejestracji nazw domenowych, dostawcy usług zaufania, dostawcy usług DNS czy podmioty, których usługi, jeśli zostaną zakłócone, mogą znacząco wpłynąć na bezpieczeństwo publiczne.

Artykuł 21 NIS2 nakłada na państwa członkowskie obowiązek zapewnienia, aby podmioty istotne i ważne podejmowały odpowiednie środki zarządzania ryzykiem cyberbezpieczeństwa i zapobiegały lub minimalizowały wpływ incydentów na swoje usługi oraz odbiorców tych usług. Środki te powinny opierać się na podejściu obejmującym wszystkie zagrożenia i obejmować polityki dotyczące:

• analizy ryzyka i bezpieczeństwa systemów informatycznych;
• obsługi incydentów;
• ciągłości działania, takiej jak zarządzanie kopiami zapasowymi, odzyskiwanie po awarii oraz zarządzanie kryzysowe;
• bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa dotyczących relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub dostawcami usług;
• bezpieczeństwa w nabywaniu, rozwoju i utrzymaniu sieci i systemów informatycznych, w tym obsługi podatności i ujawniania;
• oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;
• podstawowych praktyk cyberhigieny oraz szkoleń z zakresu cyberbezpieczeństwa;
• wykorzystania szyfrowania;
• bezpieczeństwa zasobów ludzkich, kontroli dostępu i zarządzania zasobami;
• wykorzystania uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania, bezpiecznych komunikacji głosowych, wideo i tekstowych.

Podmioty, decydując, które z powyższych środków cyberbezpieczeństwa są odpowiednie, powinny brać pod uwagę podatności i praktyki związane z bezpieczeństwem (w tym bezpiecznego rozwoju) ich bezpośrednich dostawców i dostawców usług. Podmioty są także zobowiązane uwzględnić wyniki z koordynowanej analizy ryzyka bezpieczeństwa kluczowych łańcuchów dostaw.

Do października 2024 roku Komisja przyjmie akty wykonawcze określające wymagania techniczne i metodologiczne dla określonych dostawców usług (takich jak dostawcy usług DNS, dostawcy usług chmury obliczeniowej, dostawcy usług centrów danych, dostawcy sieci dostarczania treści, dostawcy zarządzanych usług bezpieczeństwa, dostawcy platform rynków online, wyszukiwarek internetowych i platform usług społecznościowych) oraz wymagania sektorowe dla innych podmiotów kluczowych i ważnych.

Według oceny wpływu towarzyszącej dyrektywie, przedsiębiorstwa podlegające ramom NIS2 będą potrzebować zwiększenia wydatków na bezpieczeństwo IT o nawet 22% w pierwszych latach po wprowadzeniu nowych ram NIS. Dla firm już objętych zakresem NIS 1 wyniosłoby to 12%.

Jednakże przewidywane jest, że znacząca redukcja kosztów incydentów związanych z cyberbezpieczeństwem zrekompensuje nowe wydatki na bezpieczeństwo. Dodatkowo raport inwestycji NIS 2020 ENISA wykazał, że europejscy operatorzy usług kluczowych i dostawcy usług cyfrowych wydali na cyberbezpieczeństwo o 41% mniej niż ich amerykańscy odpowiednicy, co wykazało istnienie różnicy w wydatkach na bezpieczeństwo między UE a USA.

Dyrektywa NIS 2 podkreśla specjalną rolę, jaką pełnią dostawcy zarządzanych usług bezpieczeństwa w pomaganiu organizacjom w spełnianiu ich obowiązków związanych z zarządzaniem incydentami cybernetycznymi.

Firmy zewnętrzne zatrudnione do pomocy w reagowaniu na incydenty, audytach bezpieczeństwa czy testach penetracyjnych powinny być wybierane ze zwiększoną ostrożnością, ponieważ mogą być także celem ataków cybernetycznych. Szczególnie istotne jest wybranie dostawców zarządzanych usług bezpieczeństwa, którzy są renomowani, posiadają niezbędne certyfikacje i doświadczenie w wspieraniu podmiotów kluczowych.

Jako Blue Energy Sp. z o.o. świadczymy kompleksowe usługi z zakresu cyberbezpieczeństwa. Wiedza i doświadczenie stanowią nasz fundament kompetencji.  Zespół ekspertów cyberbezpieczeństwa posiada bogate doświadczenie w realizacji ponad 2000 projektów, stale poszerzając swoją wiedzę i zdobywając certyfikaty potwierdzające nabyte umiejętności. Aby dowiedzieć się więcej, zapraszamy do odwiedzenia naszej podstrony o nas – https://www.grupablue.pl/o-nas/