Zapewniamy analizę, i wdrożenie niezbędnych procedur z zakresie polityki zgodności z NIS2

ZMIANY OD NIS DO NIS2

Sektory kluczowe NIS2:

Sektory ważne:

        energetyka

        transport

        bankowość

        infrastruktura rynków finansowych

        zdrowie

        woda pitna

        ścieki

        infrastruktura cyfrowa

        zarzadzanie usługami ICT

        administracja publiczna

        przestrzeń kosmiczna

        usługi pocztowe i kurierskie

        gospodarka odpadami

        produkcja, przetwarzanie i dystrybucja żywności

        produkcja (wyroby medyczne, diagnostyka in vitro),

        produkty komputerowe elektroniczne i optyczne, urządzenia elektryczne, maszyny i urządzenia,

        pojazdy samochodowe, inny sprzed transportowy.

        dostawcy usług cyfrowych

        badania naukowe. 


Obowiązki podmiotów kluczowych i ważnych:

  • Proporcjonalne środki uwzględniające: Ryzyko, Wielkość podmiotu
  • Prawdopodobieństwo wystąpienia incydentu i dotkliwość
  • Zgłaszanie incydentów poważnych
  • Szkolenia dla kadry kierowniczej (obowiązkowe) oraz dedykowanych pracowników, informowanie odbiorców usług o incydentach i środkach zaradczych.
  • Stosowanie własnych bądź nabytych  certyfikatów produktów i procesów. Zalecane korzystanie z  kwalifikowanych usług zaufania 
  • Zawiadomienie o uczestnictwie w mechanizmach wymiany informacji

Uprawnienia organów nadzorczych

Dyrektywa NIS2 nadaje organom nadzorczym rozległe uprawnienia do kontroli i egzekwowania przepisów, Wśród nich znajduję się m.in.:

  • Przeprowadzanie niezależnych i ukierunkowanych audytów bezpieczeństwa oraz nakazanie wdrożenia zaleceń poaudytowych;
  • Wnioskowanie o udostępnienie informacji, dostępu do danych i dokumentów;
  • Wydawanie nakazów zapewnienia zgodności z dyrektywą NIS2.

Zarządzanie ryzykiem cyber bezpieczeństwa

Państwa członkowskie mają obowiązek zapewnić, żeby organy zarządzające podmiotami kluczowymi i ważnymi:

  • zatwierdzały środki zarządzania ryzykiem
  • nadzorowały ich wdrażanie
  • mogły być pociągnięte do odpowiedzialności za naruszenie przepisów w zakresie zarządzania ryzykiem

Wg NIS 2:

Środki zarządzania ryzykiem w cyber bezpieczeństwie mają uwzględniać stopień zależności podmiotu kluczowego lub ważnego od sieci i systemów informatycznych. Obejmować środki mające na celu identyfikację ryzyka wystąpienia incydentów, zapobiegania incydentom, wykrywanie ich, reagowanie na nie, przywracanie normalnego działania i łagodzenie skutków. 

Administracyjne kary pieniężne

Przy ich nakładaniu uwzględnia się te same indywidualne okoliczności co przy nakładaniu środków nadzoru i egzekwowania przepisów.
Państwa członkowskie uwzględnią ewentualne kary okresowe, czy nakładanie kar na podmioty administracji publicznej.

Wysokość kar:

Sektory kluczowe NIS2:

Sektory ważne:

        co najmniej 10 mln EUR lub

        co najmniej 2% rocznego światowego obrotu


        co najmniej 7 mln EUR lub

        co najmniej 1,4% rocznego światowego obrotu