Artykuły Proster - źródła profesjonalnej wiedzy

Branżowa wiedza zebrana przez specjalistów dla specjalistów. Skorzystaj z doświadczenia naszych ekspertów.

Dyrektywa NIS2 – nowe obowiązki dla firm produkcyjnych

Dyrektywa NIS2 to unijne rozporządzenie, które ma wzmocnić odporność cyfrową przedsiębiorstw działających w kluczowych sektorach gospodarki.

Spis treści

Cyberbezpieczeństwo przestało być tematem zarezerwowanym dla branży IT. Wraz z digitalizacją wielu sektorów gospodarki one również muszą chronić się przed zagrożeniami czającymi się w sieci. Dyrektywa NIS2 nakłada nowe obowiązki na gałęzie o wysokim stopniu krytyczności, w tym niektóre firmy produkcyjne. Kogo i czego dokładnie dotyczą nowe przepisy? Sprawdź!

Czym jest Dyrektywa NIS2?

Dyrektywa NIS2 to unijne rozporządzenie, które ma wzmocnić odporność cyfrową przedsiębiorstw działających w kluczowych sektorach gospodarki. Zastępuje obowiązującą od 2016 roku Dyrektywę NIS (Network and Information Systems). Tym razem zakres obowiązywania jest znacznie szerszy, a wymagania bardziej szczegółowe.

Dyrektywa zobowiązuje państwa członkowskie do przyjęcia krajowych strategii cyberbezpieczeństwa i zwiększania świadomości w tym zakresie.

Kogo dotyczy NIS2?

Jeżeli prowadzisz przedsiębiorstwo produkcyjne, bardzo możliwe, że podlegasz pod NIS2. W przeciwieństwie do Dyrektywy NIS obejmuje ona nie tylko największe podmioty. W tym przypadku stosuje się dwa kryteria.

Kryterium wielkości (size cap rule). Dyrektywie podlegają przedsiębiorstwa zatrudniające powyżej 50 pracowników i mające roczny obrót powyżej 10 mln EUR. Wyjątek stanowią małe i mikroprzedsiębiorstwa, które zostały zdefiniowane jako kluczowe lub ważne dla wybranych sektorów.

Kryterium sektora. Dyrektywa dotyczy przedsiębiorstw działających w branżach uznanych za istotne.

Ze względu na wielkość przedsiębiorstwa podzielono na dwie grupy:

  • kluczowe – pow. 250 pracowników i 50 mln EUR obrotu,
  • ważne – pow. 50 pracowników 10 mln EUR obrotu.

Od przynależności do jednej z tych grup zależą poziom nadzoru, sposób egzekwowania wymagań oraz wysokość kar.

Natomiast do sektorów kluczowych i ważnych podlegających Dyrektywie NIS2 należą:

  • energetyka,
  • transport,
  • bankowość,
  • infrastruktura rynków finansowych,
  • opieka zdrowotna,
  • woda pitna,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • administracja publiczna,
  • przestrzeń kosmiczna,
  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, wytwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja wyrobów medycznych,
  • produkcja wyrobów elektronicznych,
  • produkcja wyrobów optycznych,
  • produkcja pojazdów samochodowych,
  • dostawcy usług cyfrowych,
  • badania naukowe.

Dyrektywa NIS2 dotyczy tysięcy firm w Polsce. Jeżeli działasz w którymkolwiek z wymienionych sektorów, warto się zainteresować tymi regulacjami, zanim będzie za późno.

Podmioty zwolnione z NIS2

Od powyższych reguł obowiązują wyjątki. Dyrektywa NIS2 nie dotyczy:

  • przedsiębiorców, którzy świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej,
  • przedsiębiorców, którzy zostaną zwolnieni z obowiązków w odniesieniu do prowadzonych przez siebie działań lub świadczonych usług,
  • przedsiębiorców, którzy zostali zwolnieni ze stosowania rozporządzenia DORA.

Jakie obowiązki nakłada Dyrektywa NIS2?

Dyrektywa NIS2 precyzyjnie określa, co musi wdrożyć każda podlegająca jej organizacja. Wymogi dotyczą dwóch filarów:

  • wdrożenia odpowiednich środków technicznych, operacyjnych i organizacyjnych,
  • zgłaszania incydentów cyberbezpieczeństwa.

Na czym dokładnie polegają?

Wdrożenie odpowiednich środków w ramach Dyrektywy NIS2

Dyrektywa NIS2 wskazuje, że  środki zarządzania ryzykiem w cyberbezpieczeństwie wdrażane w przedsiębiorstwie powinny być proporcjonalne i uwzględniać wielkość podmiotu, stopień jego narażenia na ryzyko, prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.

Nie ma precyzyjnych wytycznych co do rodzaju środków. Firmy same muszą dobrać i wdrożyć odpowiednie rozwiązania, ale wymagane minimum to:

  • polityka analizy ryzyka i bezpieczeństwa systemów informatycznych,
  • obsługa incydentu,
  • zapewnienie ciągłości działania,
  • bezpieczeństwo łańcucha dostaw,
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
  • polityka i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
  • podstawowe praktyki „higieny cyfrowej”,
  • szkolenia w zakresie cyberbezpieczeństwa,
  • polityka i procedury stosowania kryptografii, a w stosownych przypadkach także szyfrowania,
  • bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Ponadto firma musi wyznaczyć i zgłosić osobę lub organ odpowiedzialny za wdrażanie i ewentualne naruszenia Dyrektywy.

Zgłaszanie incydentów cyberbezpieczeństwa

Drugi filar wymogów wynikających z Dyrektywy NIS2 dotyczy zgłaszania incydentów cyberbezpieczeństwa. Przedsiębiorcy mają obowiązek zgłaszać poważne przypadki właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego wraz z informacjami pozwalającymi na ustalenie transgranicznego wpływu tych zdarzeń. Dyrektywa nakłada także obowiązek informowania odbiorców usług o poważnych sytuacjach, które mogą mieć niekorzystny wpływ na świadczenie tych usług oraz o cyberzagrożeniach, które mogą potencjalnie ich dotyczyć w związku z incydentem.

Za poważne incydenty uznaje się zdarzenia, które:

  • spowodowały lub mogą spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu,
  • wpłynęły lub mogą wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Informacje o incydentach należy przekazywać niezwłocznie – w pierwszych 24 godzinach wymagane jest wczesne ostrzeżenie, a w ciągu 72 godzin należy dokonać pełnego zgłoszenia. Dostawcy usług zaufania mają 24 godziny na zgłoszenie zdarzenia.

Incydenty i zagrożenia, które nie wpisują się w definicję poważnych, można zgłaszać dobrowolnie. Dotyczy to również podmiotów nieobjętych wymogami Dyrektywy NIS2.

Co grozi za brak zgodności z NIS2?

Dyrektywa przewiduje dotkliwe sankcje finansowe. Dokładna wysokość kar zależy od rodzaju naruszenia i wielkości firmy. Maksymalny wymiar sankcji wynosi:

  • dla podmiotów kluczowych– do 10 mln EUR lub 2% rocznego obrotu w poprzednim roku obrotowym,
  • dla podmiotów ważnych– do 7 mln EUR lub 1,4% rocznego obrotu w poprzednim roku obrotowym.

Osoby lub organy zarządzające w firmie, które zostały zarejestrowane jako odpowiedzialne za zagadnienia związane z NIS2, również ponoszą odpowiedzialność za naruszenia.

Czy Twoja firma jest gotowa na NIS2?

Chociaż wdrożenie NIS2 może być wymagające, podmioty uznane za kluczowe lub ważne nie unikną tego obowiązku. Jak upewnić się, że Twoja organizacja jest gotowa na zmiany?

  1. Zidentyfikuj, czy podlegasz pod NIS2 – sprawdź sektor, liczbę pracowników i roczny obrót.
  2. Wyznacz osobę lub zespół odpowiedzialny za cyberbezpieczeństwo – postaw na kompetentne i rzetelne osoby, ponieważ będzie na nich spoczywać spora odpowiedzialność.
  3. Przeprowadź analizę ryzyka – najlepiej z pomocą zewnętrznej firmy, która zapewni obiektywizm i skrupulatność w identyfikacji luk w zabezpieczeniach.
  4. Opracuj i wdrażaj polityki bezpieczeństwa – zgodnie z regulacjami NIS2.
  5. Zadbaj o edukację pracowników – wyznacz budżet i zaplanuj szkolenia, aby uniknąć zagrożeń wewnętrznych.
  6. Opracuj procedury reagowania na incydenty – w tym ich zgłaszania, niwelowania skutków, przygotowania dokumentacji.
  7. Regularnie testuj systemy i procedury – to jeden z filarów skutecznej cyberochrony.

Dyrektywa NIS2 ma na celu ochronę kluczowych sektorów gospodarki i administracji publicznej. Jej wdrożenie jest konieczne dla wspólnego dobra – w tym zapewnienia ciągłości funkcjonowania najważniejszych organów i usług. Jeśli Twoja firma należy do podmiotów ważnych lub kluczowych i jeszcze nie wdrożyła stosownych zmian, najwyższy czas to zmienić. Nawet jeśli nie podlegasz wymogom NIS2, również warto się nimi zainteresować. Dobre praktyki z zakresu cyberbezpieczeństwa warto wdrożyć w każdej firmie – szczególnie że w przyszłości podobne przepisy mogą obowiązywać jeszcze szerszy zakres podmiotów gospodarczych.

Zobacz nasze Artykuły

testy-fat-w-automatyzacji

3 kluczowe pytania na testach FAT Automatyzacji Produkcji

Testy FAT Automatyzacji Produkcji powinny być odpowiednio zaplanowane, aby uniknąć opóźnień w projekcie i strat produkcyjnych.

Jak zapewnić bezpieczeństwo stanowisk zrobotyzowanych?

Bezpieczeństwo stanowisk zrobotyzowanych jest kluczowe dla zapewnienia optymalnych warunków pracy na linii człowiek - robot przemysłowy.
roboty-przemyslowe-na-hali-produkcyjnej-e1689233231546

Popraw wydajność produkcji dzięki robotyzacji

Zminimalizuj uzależnienie produkcji od kompetencji pracowników i skup się na doskonaleniu produktu, a nie ciągłych problemach produkcyjnych.
Porozmawiaj z doradcą

Zobacz jak zarządzać wdrożeniem Automatyzacji Produkcji, aby uniknąć podstawowych błędów!

ZOBACZ