Dyrektywa NIS2 – zakres i obowiązki

NIS2 (czyli Network and Information Systems Directive 2) to dyrektywa Parlamentu Europejskiego i Rady UE, mająca na celu wzmocnienie cyberodporności oraz osiągnięcie wysokiego, wspólnego poziomu cyberbezpieczeństwa organizacji działających w sektorach krytycznych gospodarki Unii Europejskiej.

Dyrektywa obejmuje podmioty należące do tzw. sektorów kluczowych i ważnych.

Kogo dotyczy dyrektywa NIS2

Sektory kluczowe:

• Energetyka – energia elektryczna, instalacje ciepłownicze i chłodnicze, gaz, ropa naftowa, wodór
• Transport – lotnictwo, kolej, transport wodny, transport drogowy
• Bankowość
• Finanse – operatorzy systemów obrotu oraz kontrahenci centralni (CCP)
• Ochrona zdrowia – szpitale, laboratoria, producenci leków, producenci krytycznych wyrobów medycznych
• Zaopatrzenie w wodę
• Odprowadzanie ścieków
• Infrastruktura cyfrowa – dostawcy usług internetowych, w tym DNS, rejestry domen, dostawcy chmury, ośrodki przetwarzania danych, sieci CDN, usługi zaufania, sieci łączności elektronicznej
• Zarządzanie usługami informatycznymi i telekomunikacyjnymi (ICT) – dostawcy usług zarządzanych, w tym w zakresie bezpieczeństwa
• Podmioty publiczne / administracja publiczna
• Przemysł kosmiczny – podmioty wspierające świadczenie usług kosmicznych

Sektory ważne:

• Usługi pocztowe i kurierskie
• Gospodarowanie odpadami
• Produkcja i dystrybucja chemikaliów
• Produkcja, przetwarzanie i dystrybucja żywności
• Produkcja przemysłowa – wyroby medyczne, komputery, elektronika, urządzenia optyczne, urządzenia elektryczne, maszyny i urządzenia, samochody, przyczepy, pozostały sprzęt transportowy
• Dostawcy usług cyfrowych – platformy handlowe, dostawcy wyszukiwarek, platformy społecznościowe
• Badania naukowe – organizacje badawcze

Dyrektywa obejmuje także podmioty należące do łańcucha dostaw podmiotów kluczowych i ważnych.

Podmioty ww. są zobligowane do budowania cyberodporności, wdrożenia odpowiednich polityk bezpieczeństwa, środków zarządzania ryzykiem (technicznych, operacyjnych, organizacyjnych) oraz do ciągłego monitorowania i reagowania na zagrożenia w obszarze cyberbezpieczeństwa.

W czym pomożemy?

Krok 1 – ocena zakresu objęcia dyrektywą NIS2

Ocenimy stan faktyczny i potwierdzimy, czy dyrektywa NIS2 obejmuje Państwa podmiot.

Krok 2 – audyt NIS2 (jeżeli dyrektywa obejmuje Państwa podmiot)

Przeprowadzimy audyt NIS2, w ramach którego:

• ocenimy zgodność Państwa organizacji z dyrektywą NIS2,
• zweryfikujemy wdrożone środki zarządzania cyberbezpieczeństwem,
• ocenimy zarządzanie ryzykiem oraz procedury reagowania na incydenty,
• zidentyfikujemy słabe punkty i obszary wymagające wzmocnienia.

Celem audytu jest wsparcie w budowaniu odporności na zagrożenia oraz ograniczenie ryzyk osobistych i finansowych po stronie kadry zarządzającej.

Krok 3 – polityki i procedury (na życzenie)

Opracujemy politykę bezpieczeństwa NIS2, procedury oraz procesy zharmonizowane i dopasowane do specyfiki Państwa podmiotu.

Krok 4 – wsparcie wdrożeniowe (na życzenie)

Pomożemy wdrożyć narzędzia i środki umożliwiające dostosowanie Państwa organizacji do wymogów dyrektywy NIS2.

Model współpracy i wycena

Oferujemy zarówno kompleksową pomoc obejmującą wszystkie powyższe kroki, jak i wsparcie częściowe – w wybranych przez Państwa zakresach. Usługi świadczone są przez wyspecjalizowanych i doświadczonych ekspertów cyberbezpieczeństwa.

Koszt usługi jest ustalany indywidualnie i zależy od:

• wielkości oraz złożoności infrastruktury IT – zarówno softwarowej (oprogramowanie, systemy, aplikacje), jak i hardwarowej (urządzenia, infrastruktura fizyczna), z uwzględnieniem konfiguracji, awarii oraz aktualizacji,
• kompleksowości audytu – od oceny zgodności, przez analizę ryzyka, aż po szczegółowe testy penetracyjne i plan ciągłości działania,
• stopnia przygotowania podmiotu oraz wdrożonych wcześniej norm bezpieczeństwa.

W przypadku zamówienia usługi kompleksowej lub co najmniej dwóch zakresów oferujemy 50% rabatu na ocenę formalno-prawną.

Kontakt

Krajowa Izba Gospodarki Cyfrowej
e-mail: biuro@kigc.pl