Dyrektywa NIS2 (Network and Information Systems Directive 2) wprowadza szereg minimalnych wymagań w zakresie cyberbezpieczeństwa, które organizacje muszą spełnić, aby zapewnić odpowiedni poziom ochrony swoich systemów informacyjnych.

ENTRAST przypominam że kluczowe obszary obejmują:

1. Zarządzanie ryzykiem: Organizacje są zobowiązane do systematycznej identyfikacji, analizy i oceny ryzyk związanych z cyberbezpieczeństwem oraz wdrażania odpowiednich środków technicznych i organizacyjnych w celu ich minimalizacji. Obejmuje to m.in. polityki bezpieczeństwa systemów informatycznych, zarządzanie incydentami oraz zapewnienie bezpieczeństwa w łańcuchu dostaw.
2. Odpowiedzialność:  Kierownictwo organizacji ponosi odpowiedzialność za nadzór nad środkami cyberbezpieczeństwa. Dyrektywa NIS2 wymaga, aby osoby na stanowiskach kierowniczych przechodziły odpowiednie szkolenia z zakresu cyberbezpieczeństwa oraz aktywnie uczestniczyły w procesach zarządzania ryzykiem. Naruszenia mogą skutkować karami finansowymi oraz odpowiedzialnością indywidualną członków zarządu.
3. Obowiązki sprawozdawcze: Organizacje muszą zgłaszać poważne incydenty bezpieczeństwa do właściwych organów w ciągu 24 godzin od ich wykrycia, a następnie dostarczyć bardziej szczegółowy raport w ciągu 72 godzin. Celem jest umożliwienie szybszej reakcji na poziomie krajowym i unijnym oraz minimalizacja skutków incydentów.
4. Ciągłość działania: Organizacje są zobowiązane do opracowania i wdrożenia planów zapewnienia ciągłości działania na wypadek poważnych incydentów cybernetycznych. Plany te powinny obejmować procedury awaryjne, odzyskiwanie systemów oraz powołanie zespołów reagowania kryzysowego.

Dodatkowo, dyrektywa NIS2 rozszerza zakres sektorów objętych regulacjami, obejmując m.in. energetykę, transport, bankowość, zdrowie, infrastrukturę cyfrową oraz sektor publiczny. Organizacje działające w tych sektorach muszą dostosować swoje systemy i procedury do nowych wymagań, aby uniknąć surowych kar finansowych oraz zapewnić wysoki poziom bezpieczeństwa swoich usług.

Państwa członkowskie Unii Europejskiej są zobowiązane do implementacji dyrektywy NIS2 do prawa krajowego do 17 października 2024 roku. W Polsce przepisy zaczną obowiązywać po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, co planowane jest na pierwszy kwartał 2025 roku.