Dziękujemy, że nas odwiedziłeś! Sklep działa w trybie katalogu. Nie można jeszcze kupować online. Jeżeli interesuje Cię jakiś produkt to prosimy o kontakt. Do usłyszenia !

Dyrektywa NIS 2 z 2023 roku w skrócie.

ARTYKUŁ - DYREKTYWA NIS 2

Stan zapasów: Nie dotyczy -> Strona informacyjna
Nie dotyczy -> Strona informacyjna
Ten produkt jest obecnie niedostępny i nie można go kupić.

Opis

Dyrektywa NIS 2 z 2023 roku w skrócie.

Dyrektywa NIS2 (Network and Information Systems Directive 2) europejskie prawo dotyczące cyberbezpieczeństwa. Jej celem jest zabezpieczenie sieci i systemów informatycznych przed atakiem i kradzieżą danych na terytorium Unii Europejskiej.

NIS2 opiera się na już solidnym unijnym dorobku prawnym dotyczącym cyberbezpieczeństwa, który obejmuje pierwsze unijne prawo dotyczące cyberbezpieczeństwa:

- dyrektywę NIS (NIS Directive 2016),
- akt o cyberbezpieczeństwie (Cybersecurity Act 2019),
- rozporządzenie w sprawie Europejskiego Centrum Kompetencji i Sieci Kompetencji w dziedzinie Cyberbezpieczeństwa (Regulation on European Cybersecurity Competence Centre and Network 2021),
- Zestaw narzędzi dla dyplomacji cybernetycznej (Cyber Diplomacy Toolbox 2019).

Dyrektywa NIS 2 jest nowelizacją pierwszego (2016) europejskiego prawa dotyczącego cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz podmiotów działających na obszarze UE, która weszła w życie 16 stycznia 2023 r.

Od tej daty Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. 

Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 17 października 2024 r.

Najważniejsze zmiany wynikające z Dyrektywy NIS 2:

Obejmuje dwa typy podmiotów:

- podmioty kluczowe (essential entities)

- podmioty istotne (important entities)

Sektory kluczowe wymienione zostały w załączniku I do dyrektywy, zaś ważne w załączniku II.

Podmioty kluczowe wg NIS2

- energetyka,
- transport,
- bankowość,
- infrastruktura rynków finansowych,
- opieka zdrowotna,
- sektor wody pitnej,
- ścieki,
- infrastruktura cyfrowa,
- zarządzanie usługami ICT,
- administracja publiczna,
- przestrzeń kosmiczna.

Podmioty ważne wg NIS2

- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja, przetwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności,
- produkcja (w szerokim znaczeniu),
- usługi cyfrowe,
- badania naukowe.

Na podmioty objęte Dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w zakresie
- zapewnienie ciągłości działania i zarządzania kryzysowego
- wprowadzenie polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
- zapewnienie odpowiedniego poziomu bezpieczeństwa sieci i systemów informatycznych,
- obsługa incydentów – zapobieganie, wykrywanie i reagowanie,
- zgłaszanie incydentów bezpieczeństwa organom krajowym ds. cyberbezpieczeństwa,
- stworzenie procedur do oceny środków zarządzania ryzykiem cyberbezpieczeństwa,
- zapewnienie bezpieczeństwa łańcucha dostaw,
- wykorzystywania kryptografii i szyfrowania,
- szkolenia z zakresu cyberbezpieczeństwa.

Dyrektywa precyzuje

- zapisy w zakresie raportowania incydentów.
- wprowadza odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie,
- wprowadza nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni.
- wzmacnia rolę Europejskiej Agencji ds. Cyberbezpieczeństwa.

Utworzenie EU-CyCLONe w celu wspierania skoordynowanego zarządzania incydentami i kryzysami cybernetycznymi na dużą skalę na poziomie operacyjnym.

W celu zagwarantowania przestrzegania przez podmioty kluczowe i ważne obowiązków określonych w dyrektywie, organy właściwe otrzymają szereg instrumentów: środki nadzoru i środki egzekwowania przepisów.

Środki nadzoru i egzekwowania przepisów w tym kary w dyrektywie NIS 2.
Przykłady w skrócie:
- tymczasowe zawieszenie certyfikatu lub zezwolenia na niektóre lub wszystkie świadczone usługi
- nałożenie tymczasowego zakazu pełnienia funkcji zarządczych
- osoby fizyczne mogłą być pociągnięta do odpowiedzialności
- administracyjne kary pieniężne (zgodnie z zapisami mają być skuteczne, proporcjonalne, odstraszające)
* dla podmiotów kluczowych – 10 000 000 euro lub co najmniej 2% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa),
* dla podmiotów ważnych – 7 000 000 euro lub co najmniej 1,4% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa).


30.04.2024
źródło: Ministerstwo Infrastruktury, Cyberpolicy NASK, CyEn (Cybersecurity European Network)

 
Dyrektywa NIS, NIS, Bezpieczeństwo sieci i informacji, cyberbezpieczeństwo,Incydenty Bezpieczeństwa Komputerowego, CSIRT, CERT-EU, CERT Polska, CSIRT NASK, NASK, zabezpieczenie sieci i systemów informatycznych, zabezpieczenie sieci przed atakiem, zabezpieczenie systemów informatycznych przed atakiem, zakres dyrektywy NIS, obowiązki w ramach dyrektywy NIS, zespół reagowania na awarie komputerowe, NIS Directive, NIS, Network and information security, cybersecurity, Computer Security Incidents, CSIRT, CERT-EU, CERT Polska, CSIRT NASK, NASK, securing networks and information systems, securing networks against attacks, securing IT systems against attacks, scope of the NIS directive , obligations under the NIS directive, computer failure response team, Cybersecurity European Network, Cyen, kryptografia, szyfrowanie

Podobne produkty