Co to jest dyrektywa NIS2?

NIS2 to unijna dyrektywa o cyberbezpieczeństwie obowiązująca od października 2024, która nakłada na firmy z kluczowych sektorów wymagania dotyczące zarządzania ryzykiem cyberbezpieczeństwa, raportowania incydentów i odporności systemów.

Które firmy muszą wdrożyć NIS2?

Firmy z sektorów: energia, transport, banki, finanse, ochrona zdrowia, woda, infrastruktura cyfrowa, administracja publiczna, kosmos oraz duże firmy (250+ pracowników lub 50M€ obrotu) z wybranych sektorów.

Jakie wymagania stawia NIS2?

NIS2 wymaga: polityk zarządzania ryzykiem, środków technicznych zabezpieczeń, procedur reagowania na incydenty, ciągłości biznesu, bezpieczeństwa łańcucha dostaw, szkoleń personelu oraz regularnego testowania.

Jakie kary grożą za niezgodność z NIS2?

Kary finansowe do 10M€ lub 2% światowego obrotu (w zależności od tego, która kwota jest wyższa), odpowiedzialność osobista zarządu, czasowe zawieszenie działalności oraz publiczne upomnienia.

Jak długo trwa wdrożenie NIS2?

Kompleksowe wdrożenie zajmuje 6-12 miesięcy w zależności od wielkości organizacji i stanu bezpieczeństwa. Zalecamy rozpoczęcie od gap analysis i stopniowe wdrażanie wymaganych środków bezpieczeństwa.

Ile kosztuje wdrożenie NIS2?

Koszty zależą od rozmiaru firmy i stanu bezpieczeństwa: małe firmy od 25000 PLN, średnie od 75000 PLN, duże organizacje od 200000 PLN. Oferujemy bezpłatną analizę zgodności i wycenę.

Wdrożenie NIS2

Kompleksowe wsparcie we wdrożeniu dyrektywy NIS2. Zapewniamy zgodność z najnowszymi wymaganiami cyberbezpieczeństwa UE.

Polska nie zdążyła z terminem 17 października 2024

Czym jest dyrektywa NIS2?

NIS2 to najnowsza unijna dyrektywa o cyberbezpieczeństwie, która zastąpi NIS i wprowadzi znacznie szersze wymagania dla organizacji w UE.

Terminy NIS2

24h

24 godziny

Na zgłoszenie znaczącego incydentu

72h

72 godziny

Na przesłanie pełnego raportu

Kto musi wdrożyć NIS2?

Dyrektywa NIS2 obejmuje organizacje z sektorów krytycznych i ważnych zatrudniające minimum 50 pracowników lub osiągające roczny obrót powyżej 10 mln EUR

Ważne dla firm w Polsce

W Polsce szacuje się, że NIS2 obejmie około 3000-4000 organizacji z różnych sektorów. Nawet mniejsze firmy mogą być objęte, jeśli świadczą usługi cyfrowe lub współpracują z sektorami krytycznymi.

KRYT

Sektor krytyczny

Organizacje świadczące usługi niezbędne dla funkcjonowania społeczeństwa

Kryteria objęcia NIS2

≥50 pracowników lub ≥10 mln EUR obrotu rocznego

Przykładowe sektory:

Energetyka (elektrownie, sieci dystrybucyjne)

Transport (koleje, porty, lotniska)

Bankowość i infrastruktura rynków finansowych

Infrastruktura cyfrowa (IXP, DNS, TLD)

Zarządzanie kryzysowe

Administracja publiczna

Obowiązki:

Wysokie wymagania compliance i surowe kary do 10 mln EUR

Dodatkowe informacje:

Osobista odpowiedzialność zarządu za cyberbezpieczeństwo

WAŻNY

Sektor ważny

Organizacje ważne dla gospodarki i społeczeństwa

Kryteria objęcia NIS2

≥50 pracowników lub ≥10 mln EUR obrotu rocznego

Przykładowe sektory:

Operatorzy pocztowi i kurierzy

Gospodarowanie odpadami

Produkcja chemikaliów

Produkcja żywności

Produkcja urządzeń medycznych

Dostawcy usług cyfrowych (cloud, marketplace, wyszukiwarki)

Obowiązki:

Standardowe wymagania NIS2, kary do 7 mln EUR

Dodatkowe informacje:

Mniejsze firmy mogą być objęte przy spełnieniu progów

Wymagania NIS2

Sześć głównych obszarów wymagań cyberbezpieczeństwa

Zarządzanie ryzykiem

Kompleksowe podejście do identyfikacji, oceny i zarządzania ryzykami cyberbezpieczeństwa.

Polityki zarządzania ryzykiem cybernetycznym

Regularna analiza i ocena ryzyk

Środki zmniejszające ryzyko

Monitoring i przegląd ryzyk

Bezpieczeństwo systemów

Zabezpieczenie systemów informatycznych i sieci przed zagrożeniami cybernetycznymi.

Aktualne systemy zabezpieczeń

Konfiguracja i zarządzanie systemami

Szyfrowanie danych wrażliwych

Kontrola dostępu i autoryzacja

Reagowanie na incydenty

Procedury wykrywania, reagowania i odzyskiwania po incydentach cyberbezpieczeństwa.

Plan reagowania na incydenty

Zespół reagowania na incydenty

Procedury eskalacji

Komunikacja z CSIRT/CERT

Ciągłość działania

Zapewnienie ciągłości działania systemów krytycznych i szybkiego przywracania usług.

Plan ciągłości działania

Procedury backup i recovery

Testowanie planów awaryjnych

Alternatywne systemy

Łańcuch dostaw

Zarządzanie ryzykiem cyberbezpieczeństwa w łańcuchu dostaw i u dostawców.

Ocena bezpieczeństwa dostawców

Wymagania dla partnerów

Monitoring łańcucha dostaw

Umowy z klauzulami bezpieczeństwa

Raportowanie

Obowiązki sprawozdawcze wobec organów nadzorczych i współpraca z CSIRT.

Procedury raportowania incydentów

Współpraca z CSIRT/CERT

Dokumentacja dla organów

Regularne raporty zgodności

Etapy wdrożenia NIS2

Strukturyzowany proces implementacji wymagań dyrektywy

Konsultacja wstępna

Czas: 1-2 dni

Analiza obecnego stanu cyberbezpieczeństwa i określenie zakresu wymagań NIS2 dla Twojej organizacji.

Rezultaty:

Wstępna ocena zgodności

Identyfikacja luk w zabezpieczeniach

Plan działań naprawczych

Harmonogram wdrożenia

Audyt NIS2

Czas: 1-2 tygodnie

Szczegółowy audyt wszystkich aspektów wymaganych przez dyrektywę NIS2 w kontekście Twojej infrastruktury.

Rezultaty:

Pełny raport audytu NIS2

Mapa ryzyk cybernetycznych

Inwentaryzacja aktywów IT

Ocena obecnych polityk

Plan działań naprawczych

Czas: 3-5 dni

Opracowanie szczegółowego planu implementacji wszystkich wymagań NIS2 z priorytetyzacją działań.

Rezultaty:

Szczegółowy plan wdrożenia

Harmonogram z kamieniami milowymi

Budżet i zasoby potrzebne

Analiza ryzyk wdrożenia

Implementacja polityk

Czas: 4-12 tygodni

Wdrożenie polityk bezpieczeństwa, procedur oraz środków technicznych zgodnych z NIS2.

Rezultaty:

Polityki cyberbezpieczeństwa

Procedury reagowania na incydenty

Dokumentacja procesów

Konfiguracja zabezpieczeń

Testowanie i szkolenia

Czas: 2-4 tygodnie

Przeprowadzenie testów zgodności oraz szkolenie zespołu z nowych polityk i procedur.

Rezultaty:

Testy penetracyjne

Symulacje incydentów

Materiały szkoleniowe

Certyfikaty ukończenia

Wsparcie ciągłe

Czas: Ciągłe

Bieżące wsparcie w utrzymaniu zgodności z NIS2 oraz aktualizacja dokumentacji i procedur.

Rezultaty:

Monitoring zgodności

Aktualizacja dokumentacji

Regularne przeglądy

Wsparcie techniczne 24/7

Korzyści z wdrożenia NIS2

Dlaczego warto profesjonalnie wdrożyć wymagania NIS2

Zgodność z prawem

Pełne dostosowanie do wymagań dyrektywy NIS2 i polskich przepisów implementujących.

Unikanie kar

Zabezpieczenie przed karami finansowymi sięgającymi 10 mln EUR lub 2% przychodu.

Zwiększenie bezpieczeństwa

Rzeczywiste podniesienie poziomu cyberbezpieczeństwa organizacji i ochrony danych.

Przewaga konkurencyjna

Budowanie zaufania klientów i partnerów przez demonstrację wysokich standardów bezpieczeństwa.

Nie zwlekaj z wdrożeniem NIS2

Chociaż Polska nie zdążyła z terminem październikowym, implementacja w 2025 roku jest nieunikniona. Przygotuj się już teraz, aby uniknąć kar i być gotowym na nowe przepisy.

Bezpłatna

Konsultacja wstępna

1-2 dni

Wstępna ocena zgodności

12 tygodni

Pełne wdrożenie NIS2

Status implementacji w Polsce

Polska nie wdrożyła NIS2 w terminie (17 października 2024). Komisja Europejska wszczęła procedury naruszeniowe wobec 23 państw członkowskich, w tym Polski.

Nowe polskie przepisy wejdą w życie w 2025 roku. Organizacje niezgodne mogą zostać ukarane karami do 10 mln EUR lub 2% rocznego obrotu. Zarząd ponosi osobistą odpowiedzialność za cyberbezpieczeństwo.

Rozpocznij współpracę już dziś

Otrzymaj bezpłatną konsultację i spersonalizowaną ofertę dla Twojego biznesu

Odpowiemy w ciągu 5 minut