Zagrożenie atakami hakerskimi jest coraz większe. By skuteczniej walczyć z ich skutkami, Unia Europejska przyjmuje dyrektywę NIS2, która jest częścią strategii bezpieczeństwa cybernetycznego Shaping Europe's Digital Future i bezpośrednim rozszerzeniem dyrektywy NIS z 2016 roku.
W przeciwieństwie do RODO, które chroni dane osobowe obywateli Unii Europejskiej, dyrektywa NIS2 ma zapewnić ochronę danych gospodarczych. Mają one wpływ na przedsiębiorstwa oraz gospodarki krajów członkowskich UE. Zgodnie z nowymi regulacjami, państwa członkowskie muszą wdrożyć między innymi krajową strategię cyberbezpieczeństwa oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości przedsiębiorstw objętych dyrektywą NIS2. Dyrektywa zobowiązuje również stworzenie jednego krajowego punktu kontaktowego do obsługi NIS2.
Oprócz branż, które zostały uwzględnione w dyrektywie NIS, NIS2 obejmuje również kilka nowych sektorów publicznych i prywatnych, w tym sektor spożywczy, przedsiębiorstwa transportowe i spedycyjne, telekomunikację i dostawców danych, platformy mediów społecznościowych i dostawców centrów danych, zaangażowane przedsiębiorstwa w gospodarce odpadami i ściekami oraz przedsiębiorstw produkcyjnych, które są ważne dla gospodarki kraju.
Przedsiębiorstwa objęte dyrektywą dzielą się na dwie kategorie: kluczowe podmioty (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz istotne podmioty (np. firmy spożywcze i firmy przewozowe). Firmy, które zatrudniające mniej niż 250 pracowników lub ich roczne obroty nie przekraczają 50 milionów euro są zwolnione z wdrożenia zmian. Jednak ze względu na koncepcję odpowiedzialności w łańcuchu dostaw należy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych dyrektywą muszą również przestrzegać NIS2. Ponadto nowe regulacje również administrację publiczną, ale na tym etapie nie jest jasne, czy obejmie mniejsze jednostki, takie jak gminy.
Dyrektywa NIS2 została przyjęta i oficjalnie ogłoszona pod koniec grudnia 2022 roku. Od tego czasu państwa członkowskie UE mają 21 miesięcy na transkrypcję nowych przepisów do prawa krajowego. Natomiast już w 18 miesięcy od przyjęcia dyrektywy, organizacje, których ona dotyczy, muszą być w stanie się do niej dostosować. Za niedostosowanie się do NIS2 grozi kara grzywny w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.
Dyrektywa NIS2 nie zawiera listy kontrolnej ani minimalnego zestawu wymagań dotyczących technologii ochrony. Opisuje „odpowiednią ochronę”, którą można interpretować na wiele sposobów. Można jednak założyć, że firmy potrzebują co najmniej nowoczesnej zapory ogniowej i technologii zapobiegania włamaniom do sieci, ale także ochrony bezpieczeństwa punktów końcowych oraz wdrożenia uwierzytelniania wieloskładnikowego, szyfrowania danych i ograniczania dostępu.
Zobacz: Kupno Activision Blizzard mało realne. Na drodze kolejna przeszkoda
Zobacz: Facebook znowu ukarany w Europie. Poszło o prywatność i reklamy
Źródło zdjęć: MDart10 / Shutterstock.com
Źródło tekstu: Check Point
