Wraz z rozwojem technologii cyfrowych, cyberbezpieczeństwo stało się jednym z najważniejszych zagadnień dla firm i instytucji. W 2024 roku, w obliczu globalnych zagrożeń, takich jak wojna na Ukrainie czy kryzys gospodarczy, zapewnienie bezpieczeństwa informatycznego staje się jeszcze bardziej istotne.
W 2024 roku cyberprzestępcy stosują coraz bardziej wyrafinowane metody ataku. Do najczęstszych zagrożeń należą:
W celu zwiększenia ogólnego poziomu bezpieczeństwa technologii informatycznych w Unii Europejskiej, w 2023 roku weszła w życie dyrektywa NIS 2. Dyrektywa ta nakłada na państwa członkowskie UE szereg obowiązków.
Ponadto od stycznia tego roku, wraz z wprowadzeniem „Rozporządzenia Wykonawczego do Aktu o Cyberbezpieczeństwie”, powstały ramy certyfikacji w zakresie cyberbezpieczeństwa produktów i usług ICT na terenie Unii Europejskiej, obejmujące sprzęt, oprogramowanie oraz komponenty.
Nowe prawo ma na celu zapewnienie, że usługi i urządzenia podłączone do sieci spełniają określone, jednolite kryteria cyberbezpieczeństwa obowiązujące na terenie całej UE.
Co to oznacza dla firm i konsumentów?
Jak będzie działał system certyfikacji?
Certyfikaty potwierdzające cyberbezpieczeństwo będą wydawane na podstawie Europejskiego Programu Certyfikacji Cyberbezpieczeństwa (EUCC), który opiera się na międzynarodowym standardzie Common Criteria (norma PN-EN ISO/IEC 15408).
W Polsce system certyfikacji będzie opierał się na prywatnych jednostkach certyfikujących i laboratoriach. Obecnie jedyną taką jednostką w Polsce jest NASK, która dostosuje swoje procedury do nowego europejskiego programu certyfikacji.
Sprawdź, czy i Ty podlegasz tym obowiązkom i dowiedz się więcej na poniższej stronie.
W celu zwiększenia ogólnego poziomu bezpieczeństwa technologii informatycznych w Unii Europejskiej, w 2023 roku weszła w życie dyrektywa NIS 2. Dyrektywa ta nakłada na państwa członkowskie UE szereg obowiązków, w tym:
W lipcu 2023 roku do Sejmu trafił najnowszy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Projekt został wycofany, prawdopodobnie z uwagi na zakończenie prac Sejmu IX kadencji, jednak zakłada się, że prace na nowelizacją zostaną wkrótce wznowione. Planowane nowe przepisy nakładają na firmy i instytucje szereg obowiązków, które są zgodne z dyrektywą NIS 2. Do najważniejszych obowiązków należą:
Przepisy o cyberbezpieczeństwie obowiązują w szczególności:
Operatorów usług kluczowych, czyli podmiotów, których usługi są istotne dla funkcjonowania państwa lub gospodarki, do których należą m.in.:
Dostawców usług cyfrowych, czyli podmiotów oferujących usługi cyfrowe, które są powszechnie dostępne i wykorzystywane przez dużą liczbę osób, do których należą m.in.:
Planowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa oraz dyrektywa NIS-2 wprowadzają szereg nowych zmian w zakresie cyberbezpieczeństwa w Polsce.
Oto niektóre z nich:
1. Rozszerzenie zakresu podmiotów zobowiązanych do stosowania przepisów o cyberbezpieczeństwie.
Wraz z wejściem w życie nowych przepisów, obowiązkami w zakresie cyberbezpieczeństwa zostaną objęte nowe podmioty, takie jak:
2. Wprowadzenie nowych obowiązków dla podmiotów zobowiązanych.
Podmioty zobowiązane będą zobowiązane do:
3. Wzmocnienie sankcji za naruszenie przepisów o cyberbezpieczeństwie.
Za naruszenie przepisów o cyberbezpieczeństwie grożą podmiotom zobowiązanym kary administracyjne, które mogą wynieść nawet do 10 mln euro.
4. Utworzenie nowego organu nadzorczego w zakresie cyberbezpieczeństwa.
Wraz z wejściem w życie nowych przepisów, powołany zostanie nowy organ nadzorczy w zakresie cyberbezpieczeństwa, którym będzie Prezes Urzędu Ochrony Danych Osobowych.
Termin implementacji dyrektywy NIS2 na poziomie prawa krajowego upływa dopiero 17 października 2024 roku, a dokładny zakres implementacji regulacji w nowelizacji ustawy o KSC zależy od najbliższych decyzji rządu. Jednak już dziś można wyróżnić kluczowe obowiązki, które będą musieli wdrożyć zarówno operatorzy usług kluczowych oraz dostawcy usług cyfrowych, m. in.:
Oprócz terminów na wdrożenie poszczególnych obowiązków, OUK muszą również przestrzegać następujących terminów:
Dla DUC, którzy są również operatorami usług kluczowych, terminy na wdrożenie niektórych obowiązków są takie same jak dla OUK.
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
Pełny tekst dyrektywy
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20230000913/U/D20230913Lj.pdf
Jakie sankcje karne grożą podmiotom zobowiązanym do stosowania dyrektywy NIS 2 i przepisów ustawy o KSC, za działanie niezgodne z przepisami?
Za działanie niezgodne z przepisami dyrektywy NIS 2 i ustawy o krajowym systemie cyberbezpieczeństwa podmiotom zobowiązanym grożą następujące sankcje karne:
Oprócz sankcji karnych, podmiotom zobowiązanym grożą również inne konsekwencje niezgodnego z przepisami działania, takie jak:
Przykłady wdrożeń dla instytucji badawczych i naukowych:
Przykłady wdrożeń dla sektora bankowego:
Przykłady wdrożeń dla sektora technologicznego:
Przykłady wdrożeń dla sektora zdrowotnego:
Przykłady wdrożeń dla sektora edukacji:
Przykłady wdrożeń typu Smart City:
Przykład wdrożeń w zakresie ochrony środowiska:
Prosimy o kontakt z naszymi Doradcami (telefonicznie lub emaliowo) – zapytają oni Państwa o profil działalności i doradzą właściwą ścieżkę postepowania. Nasza usługa zawiera w sobie profesjonalną weryfikację podlegania obowiązkom dyrektywy NIS 2 oraz wprowadzenie obowiązkowych działań.
Czas na przygotowanie odpowiednich dokumentów i przeprowadzenie obowiązkowych działań może się różnić w zależności od wielu czynników, np.:
W ogólnym rozrachunku, przeprowadzenie obowiązkowych działań i przygotowanie wymaganych dokumentów w zakresie cyberbezpieczeństwa może zająć od kilku dni do nawet kilku miesięcy (w przypadku bardzo dużych podmiotów).
Aby łatwo sprawdzić, czy dyrektywa NIS 2 i ustawa o KRC nakładają na Twoją firmę jakieś obowiązki, możesz skorzystać z następujących metod:
Oto kilka pytań, które możesz sobie zadać, aby określić, czy Twoja firma podlega obowiązkom wynikającym z dyrektywy NIS 2 i ustawy o KRC:
Jeśli Twoja firma odpowiada na co najmniej jedno z tych pytań, to może podlegać obowiązkom wynikającym z dyrektywy NIS 2 i ustawy o KRC. W takim przypadku, należy zapoznać się z odpowiednimi przepisami i podjąć działania w celu ich wdrożenia.