Dyrektywa NIS2 a zgodność w firmie: co musi wiedzieć każdy prezes i dział IT?

Czym jest dyrektywa NIS2 i co oznacza dla rynku?

W ramach implementacji unijnej normy, nowe wymagania zostały ujęte w procedowanej Noweli ustawy o KSC (Krajowym Systemie Cyberbezpieczeństwa). Podstawowym celem NIS2 (Network and Information Security Directive 2) jest uodpornienie kluczowych firm oraz podmiotów publicznych na dynamicznie rosnące ryzyko potężnych cyberataków (m.in. paraliżujący ransomware) oraz incydentów zakłócających funkcjonowanie nowoczesnych rynków.

Jakich firm dotyczy obowiązek zgodności?

Uregulowania NIS2 dotyczą dziesiątek tysięcy funkcjonujących na rynku podmiotów. Nowe wytyczne prawne wprowadzają wyraźny podział kwalifikacyjny firm z branż wrażliwych na podmioty kluczowe oraz wybrane podmioty znaczące (głównie firmy zatrudniające od 50 pracowników oraz przekraczające limit 10 mln obrotów rocznych).

Unijne zaostrzenia swym zakresem obejmą kluczowe sektory, takie jak: zbrojenia, produkcja sprzętu maszynowego i elektroniki, usługi IT, logistyka, operatorzy transportu publicznego, wodociągi oraz hurtowa dystrybucja żywności.

Co więcej — rygor dyrektywy rozszerza się kaskadowo wzdłuż łańcucha dostaw (Supply Chain). Oznacza to, że podmioty kluczowe nakładają wymagania bezpieczeństwa na swoich mniejszych podwykonawców B2B, wymuszając ich spełnienie na poziomie kontraktowym.

Wymagania techniczne, audyty i sankcje

Zgodność z dyrektywą NIS2 (zgodność NIS2) wymaga wdrożenia i udokumentowania szeregu procedur technicznych i organizacyjnych:

• Monitorowanie ryzyka dostawców, obsługa oraz obowiązkowe raportowanie incydentów. Poważne luki lub potencjalne udane ataki, jak przejęcie baz danych przedsiębiorstwa muszą być bezwzględnie w bardzo krótkim trybie raportowane oficjalnemu systemowi rządowemu (CSIRT).
• Implementacja BCP - Ciągłość działania operacyjnego po katastrofie poprzez plan awaryjny (Disaster Recovery). Restrykcyjne podejście do przechowywania kopii używa standardów w repozytoriach Off-site/AirGapped (np schemat tworzenia 3-2-1 na infrastrukturach AWS i Azure z repozytorium chmury).
• Wzmocnione uwierzytelnianie i kontrola dostępu: Wdrożenie standardów weryfikacji tożsamości, w tym obowiązkowego MFA (Multi-Factor Authentication), w powiązaniu z systemami ochrony tożsamości, takimi jak Microsoft Entra ID (dawniej Azure AD) oraz integracją Intune. Niezbędne jest również wdrożenie aktywnych narzędzi obronnych, np. platform klasy UTM/Firewall oraz systemów korelacji zdarzeń (SIEM/SOC), takich jak Microsoft Sentinel współpracujący z rozwiązaniami Fortinet.

Kompleksowe wewnętrzne audyty technologiczne IT pełniące rolę testu szczelności stają się krytycznym obowiązkiem decydentów. Kary przewidziane w dyrektywie NIS2 za rażące zaniedbania są niezwykle surowe — dochodzą nawet do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy (w zależności od tego, która kwota jest wyższa).