Czym jest dyrektywa NIS i do czego dokładnie nawiązuje? Odpowiadamy na najważniejsze kwestie!

Dyrektywa NIS wprowadza nowe obowiązki dla firm z kluczowych gałęzi polskiej gospodarki. Na czym mają polegać wymogi? Przede wszystkim na zapewnieniu najwyższego poziomu bezpieczeństwa z zakresu infrastruktury teleinformatycznej dla takich sektorów jak: energetyka, bankowość, ochrona zdrowia, transport, wodociągi czy też dostawców infrastruktury cyfrowej.

Czym jest dyrektywa NIS?

Pierwsze projekty unijnej dyrektywy sięgają 2013 roku, a jej uchwalenie w ostatecznym kształcie przez parlament  UE to rok 2016. Polska dopiero w listopadzie 2018 roku może pochwalić się w pełni pełną implementację dyrektywy NIS. Czym są nowe cyberobowiązki dla przedsiębiorców?

Dyrektywa NIS (Network and Information Systems Directive) nakłada obowiązek wprowadzenia rygorystycznego przestrzegania zasad bezpieczeństwa informatycznego. Co to w skrócie oznacza?

  1. Zapewnienie wszelkich środków technicznych i organizacyjnych w celu ustalenia potencjalnych ryzyk oraz zakłóceń ciągłości świadczenia usługi.
  2. Operatorzy usług kluczowych oraz dostawcy usług cyfrowych mają obowiązek zgłaszać incydenty związane z poważnym obniżeniem jakości usługi lub przerwania ciągłości usługi – np. duże marketplace powinny powiadomić o wycieku danych użytkowników w ciągu 24 godzin od ich wykrycia.
  3. Wdrożenie procedur zarządzania incydentami – klasyfikacja, zgłaszanie, podejmowanie działań naprawczych.

Niewywiązanie się z narzuconych obowiązków przez firmy będzie wiązało się z karami pieniężnymi – od 15 tysięcy do nawet miliona złotych.

Kto musi dostosować się do Dyrektywy NIS?

Czy wszyscy tworzący infrastrukturę krytyczna kraju przedsiębiorcy muszą dostosowywać się do Dyrektywy NIS? Nie, nie wszyscy. Podmioty, które zostaną przez rząd uznane za kluczowe dla polskiej gospodarki będą musiały wdrożyć NIS w ciągu 3 miesięcy wydania decyzji oraz przeprowadzać audyty bezpieczeństwa co 2 lata.

Infrastrukturę krytyczną tworzą przedsiębiorstwa:

  • Energetyczne – kopalnie, produkcja i dystrybucja gazu, paliw, ciepła czy elektryczności.
  • Transportu – lotniska, koleje, żegluga, drogi i autostrady.
  • Finansowe – NBP, banki, instytucje płatnicze, SKOK-i, PWPW, BGK, BFG, Fundusze.
  • Zdrowia – największe szpitale, hurtownie farmaceutyczne, apteki ogólnodostępne, importerzy produktów leczniczych lub substancji czynnej.
  • Wody pitnej – wodociągowo-kanalizacyjne.
  • Infrastruktury cyfrowej – usługi DMS, podmiot zarządzający TLD, punkty wymiany ruchu internetowego (IXP).

Na chwilę obecną nad wykrywaniem cyberataków czuwają najważniejsze instytucje państwowe: NASK, Ministerstwo Cyfryzacji, Ministerstwo Obrony Narodowej, Rządowe Centrum Bezpieczeństwa czy Agencja Bezpieczeństwa Wewnętrznego.

Ciekawostki o Dyrektywie NIS:

  • nie wspomina o ochronie obywateli UE,
  • wykreślono z ochrony serwisy społecznościowe,
  • określono 3 typy dostawców usług cyfrowych: wyszukiwarki internetowe, usługi w chmurze oraz platformy handlowe,
  • incydenty związane z cyberbezpieczeństwem zgłasza się do 3 utworzonych CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego): CSIRT NASK, CSIRT MON, CSIRT GOV.