Dyrektywa NIS2, czyli nowe wymogi cyberbezpieczeństwa w UE

Dyrektywa NIS2 zaostrza unijne przepisy dotyczące cyberbezpieczeństwa. Rozszerza grupę podmiotów zobowiązanych do zachowania szczególnej ostrożności oraz nakłada na nie nowe obowiązki. Dyrektywa weszła w życie w 2023 roku, ale najpóźniej do 18 października 2024 wszystkie podmioty muszą się do niej dostosować.


NIS2 zastąpiła wcześniejszą dyrektywę NIS, która już nie przystawała do rosnącej roli cyfryzacji i zmieniającego się krajobrazu zagrożeń. Dyrektywa ma za zadanie zwiększyć odporność i zdolność reagowania objętych nią podmiotów publicznych i prywatnych w całej UE. [1]

 

NIS2 wobec NIS rozszerza listę podmiotów o: administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną. Na objęte nią podmioty są nałożone większe wymagania w zakresie zarządzania, ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa oraz wykorzystania szyfrowania.
 

Dyrektywa wprowadza odpowiedzialność szefostwa firmy za zgodność z wymogami środków zarządzania ryzykiem. Powołana została Europejska Sieć Zarządzania Kryzysowego w Cyberprzestrzeni, która ma służyć współpracy międzynarodowej. Jednocześnie od państw członkowskich wymaga się ustanowienia i odpowiedniego wyposażenia zespołów reagowania na incydenty bezpieczeństwa. [2]
 

Kluczowi dostawcy usług cyfrowych tacy jak wyszukiwarki, usługodawcy przetwarzania w chmurze, platformy handlowe mają obowiązek przestrzegać wymogów bezpieczeństwa i powiadamiać właściwe organy o poważnych incydentach.
 

Wszystkie podmioty objęte zapisami dyrektywy mają obowiązek zapewnić środki zarządzania ryzykiem cyberbezpieczeństwa, które będą proporcjonalne, uwzględniające stopień narażenia podmiotu na ryzyko, biorące pod uwagę wielkość podmiotu i prawdopodobieństwo narażenia na incydenty oraz ich potencjalną dotkliwość gospodarczą i społeczną. [3]

Zobacz również

Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Serdecznie zapraszamy do udziału w pierwszym webcaście z cyklu Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Praktyczne aspekty cyberbezpieczeństwa w zastosowaniu AI do dochodzeń wewnętrznych

Serdecznie zapraszamy na kolejny webcast z serii Miesiąc Cyberbezpieczeństwa EY. AI podnosi bezpieczeństwo danych i informacji podczas wykorzystywania eDiscovery i informatyki śledczej do prowadzenia postępowań wyjaśniających. Jednocześnie żeby tak było, samo AI musi być zaimplementowane i wykorzystywane we właściwy sposób, spełniający wymogi cyberbezpieczeństwa.

Greenwashing – czym grozi malowanie trawy na zielono?

Serdecznie zapraszamy do udziału w webcaście pt. "Greenwashing - czym grozi malowanie trawy na zielono?

Prawda czy mit? Sprawdź, co wiesz o prowadzeniu wewnętrznych dochodzeń!

Dlaczego firmy obawiają się prowadzenia postępowań wyjaśniających? Jakie korzyści przynosi dochodzenie wewnętrzne? Jak skutecznie przeprowadzać rozmowy wyjaśniające? Zapraszamy do obejrzenia nagrań z cyklu „Prawda czy mit?” poświęconego najczęstszym obawom i mitom dotyczącym prowadzenia wewnętrznych postępowań wyjaśniających.

Greenwashing, czyli czy warto malować trawę na zielono?

Nowe przepisy oraz szybki rozwój technologiczy przyzwyczaiły już przedsiębiorców to tego, że ocena ryzyka organizacji musi być przeprowadzana regularnie i obejmować szeroką perspektywę zewnętrzną. Większość przedsiębiorstw skutecznie stawia czoła indcydentom RODO, ich pracownicy mają świadomość cyber-zagrożeń, ustawa sankcyjna wpłynęła na baczne przyglądanie się spółkom w łańcuchu dostaw. Przykłady można mnożyć. Tematem, który aktualnie przykuwa zainteresowanie wielu organizacji jest zagadnienie greenwashingu, bezpośrednio związane z obszarem ESG.

Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko, co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. „Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?"

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach Compliance Officera

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających. Sednem tego zagadnienia, a jednocześnie kluczowym wyzwaniem dla spółek i organów zarządczych będzie kwestia wykazania, że przy podejmowaniu działań następczych dochowano należytej staranności. W przeciwnym razie spółka może narażać się na negatywne konsekwencje.

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Model trzech linii obrony, do którego odwołują się m.in. Dobre praktyki spółek notowanych na GPW, wskazuje, że za zarządzanie ryzykiem odpowiedzialni są (w różnym stopniu i zakresie): pracownicy operacyjni jako właściciele ryzyk, ich przełożeni, czyli menedżerowie ryzyk, którzy stoją na drugiej linii obrony oraz audyt wewnętrzny będący trzecią linią obrony, który podobnie jak w przypadku pozostałych procesów pełni funkcję stricte kontrolną.

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.


    Kontakt

    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.