Sprawdź wszystkie pytania i poprawne odpowiedzi z quizu NIS2 poniżej.
Czeka na Ciebie 10 odpowiedzi!
Nie są wymagane żadne informacje dotyczące płatności.
Jouw antwoord:
A: Poprawa cyberbezpieczeństwa w europejskich firmach
B: Zmniejszenie ryzyka naruszenia bezpieczeństwa danych
C: Dostosuj europejskie środki cyber security
D: Wszystkie powyższe stwierdzenia są prawidłowe
NIS2 to nowe europejskie prawo dotyczące cyberbezpieczeństwa. Prawo to powinno lepiej chronić europejskie firmy przed cyberprzestępczością. Ta lepsza ochrona powinna na przykład zmniejszyć ryzyko naruszenia danych.
Ponadto celem jest harmonizacja europejskich środków bezpieczeństwa. Europarlamentarzysta Bart Groothuis mówi o tym w Izbie Handlowej: "Rozwój techniczny postępuje bardzo szybko. NIS 1 obowiązuje od 2018 roku i jest przestarzały. Nie każde państwo członkowskie stosuje prawo jednakowo lub ściśle wszędzie. Jeśli teraz prowadzisz interesy z innymi krajami europejskimi lub masz oddział w wielu krajach, wszędzie obowiązują różne zasady. To nie działa. Zamierzamy wyznaczyć jedną linię w tym zakresie".
Jouw antwoord:
B: Organizacje o obrotach przekraczających 50 milionów euro
C: Kluczowe i ważne organizacje w określonych sektorach
NIS2 będzie miał zastosowanie do wszystkich kluczowych i ważnych organizacji w sektorach z poniższej tabeli. Obowiązują następujące kryteria:
Kluczowe organizacje...
...to duże organizacje działające w sektorze z grupy A w poniższej tabeli.
Organizacja jest duża:
1. 250 lub więcej pracowników lub
2. Roczna sprzedaż netto w wysokości 50 mln EUR lub suma bilansowa w wysokości 43 mln EUR lub wyższa.
Duże organizacje...
...to organizacje średniej wielkości działające w branży z grupy A lub B w poniższej tabeli.
Organizacja jest średniej wielkości w:
1. 50 lub więcej pracowników lub
2. Roczny obrót lub suma bilansowa w wysokości co najmniej 10 milionów euro.
Grupa A (istotne i ważne organizacje) | Grupa B (ważne organizacje) |
Energia | Dostawcy usług cyfrowych |
Transport | Usługi pocztowe i kurierskie |
Bankowość | Zarządzanie odpadami |
Infrastruktura | Jedzenie |
Opieka zdrowotna | Substancje chemiczne |
Woda pitna | Badania |
Infrastruktura cyfrowa | Produkcja i wytwarzanie |
Ścieki | |
Usługi rządowe | |
Przestrzeń | |
Zarządzanie usługami ICT |
Jouw antwoord:
A: Kontrolowane są tylko najważniejsze organizacje
B: Istotne organizacje są audytowane przed i po, a ważne organizacje tylko po.
C: Nie ma rozróżnienia między kluczowymi i ważnymi organizacjami.
Kontrola istotnych organizacji będzie bardziej rygorystyczna niż kontrola ważnych organizacji. Istotne organizacje będą sprawdzane z wyprzedzeniem.
DigitalTrustCenter Ministerstwa Gospodarki i Klimatu, możesz przeczytać na ten temat: "Istotne podmioty podlegająbardziej intensywnemu systemowi nadzoru; zarówno monitorowaniu ex ante, jak i ex post.Istotne podmioty podlegają łagodniejszej formie nadzoru, który jest prowadzony wyłącznie ex post. Na przykład, jeśli istnieją oznaki niezgodności z prawem lub jeśli doszło do incydentu".
Jouw antwoord:
A: Tak
B: Nie
NIS2 będzie miał również zastosowanie do MŚP. Oznacza to, że dotyczy kluczowych i ważnych organizacji we wspomnianych sektorach.
Poseł Bart Groothuis wyjaśnia w Izbie Handlowej: "Każdy, kto świadczy podstawowe usługi dla konsumentów, podlega nowemu prawu. Także mali usługodawcy. Wciąż spieramy się o to, co dokładnie rozumiemy przez "podstawowe". Dostawcy usług internetowych, małe fabryki, firmy zajmujące się wodą lub energią: tego rodzaju firmy będą uważane za kluczowe".
Jouw antwoord:
O: Dyrektywa, chodzi o zalecenia dotyczące bezpieczeństwa
B: Ustawodawstwo, określające minimalne podstawowe bezpieczeństwo.
C: Dyrektywa europejska, którą państwa członkowskie muszą transponować do prawodawstwa.
NIS2 to nowe europejskie przepisy dotyczące cyberbezpieczeństwa. Jest to dyrektywa europejska, którą państwa członkowskie włączają do swojego ustawodawstwa krajowego.
W Holandii NIS został zatem włączony do ustawy o bezpieczeństwie sieci i systemów informatycznych (Wbni) w 2018 r.
Porozumienie w sprawie NIS2 zostało osiągnięte na szczeblu europejskim w grudniu 2022 r. i weszło w życie miesiąc później. Państwa członkowskie muszą włączyć go do swoich przepisów krajowych w ciągu 21 miesięcy od tego czasu. Oznacza to, że przepisy wejdą w życie w Holandii nie później niż w październiku 2024 r.
Zauważ, że w Holandii odnosimy się do NIB2 (Network and Information Security) zamiast NIS2.
Jouw antwoord:
A: Każda organizacja jest odpowiedzialna za swoje własne systemy
B: Każda organizacja jest odpowiedzialna za swoje własne systemy oraz systemy dostawców i innych uczestników łańcucha.
C: Każda organizacja jest odpowiedzialna za swoje własne systemy, systemy dostawców i innych podmiotów w łańcuchu, a także za systemy innych (współpracujących) partnerów.
NIS2 nakłada na organizacje odpowiedzialność za własne systemy, systemy dostawców i innych podmiotów w łańcuchu dostaw, a także za systemy innych partnerów (współpracujących). NIS2 zobowiązuje zatem do ochrony przed ryzykiem systemowym. W szczególności organizacje muszą Oceniać cyber security dostawców.
- Krytycznie analizuj zagrożenia bezpieczeństwa w firmach w łańcuchu dostaw.
- Bierz udział w ocenach ryzyka łańcucha dostaw w branży.
- Ustanów ocenę ryzyka łańcucha dostaw i zarządzanie nim dla stron trzecich.
- Podejmij środki w celu zapewnienia bezpiecznej komunikacji elektronicznej z dostawcami.
- Powiadamiaj klientów i władze o zagrożeniach ze strony osób trzecich.
W szczególności, zgodnie z NIS2, organizacje powinny aktywnie monitorować wszelkie zagrożenia cybernetyczne w łańcuchu (dostaw). Organizacje powinny:
- Identyfikuj i oceniaj zagrożenia dla produktów i usług innych firm.
- Opracuj polityki, plany i rozwiązania w celu przeciwdziałania zagrożeniom.
- Podejmij środki w celu zabezpieczenia pozyskiwania i dostarczania produktów i usług stron trzecich.
Wreszcie, organizacje powinny stale monitorować, oceniać i podejmować odpowiednie środki w celu poważnego rozważenia i przeciwdziałania wszelkim zagrożeniom cybernetycznym ze strony osób trzecich. Ważne jest na przykład przeprowadzanie regularnych ocen, a nawet audytów stron trzecich. Ponadto należy regularnie zwracać uwagę na umowy z dostawcami.
Jeśli okaże się, że bezpieczeństwo stron trzecich nie spełnia norm, organizacje powinny same podjąć działania w tym zakresie, w tym w razie potrzeby zakończyć współpracę.
Jouw antwoord:
A: Nie, jest to zalecenie, w związku z którym władze wydają ostrzeżenia.
B: Tak, maksymalnie do 100 000 euro za incydent.
C: Tak, maksymalnie do 1 000 000 euro za incydent.
D: Tak, maksymalnie do 10 000 000 euro lub 2% rocznego globalnego obrotu.
Podobnie jak w przypadku NIS, władze mogą nakładać grzywny za nieprzestrzeganie przepisów. Grzywna może wynieść maksymalnie 10 milionów euro lub 2% rocznego światowego obrotu. Wyższa kwota określa wysokość grzywny.
Jouw antwoord:
A: Grzywny lub kary mogą być niższe
B: Organizacje otrzymują certyfikaty
C: Środki te nie mają żadnego wpływu
Władze decydują, jakie grzywny lub kary nałożyć na organizacje naruszające przepisy.
Jouw antwoord:
A: Natychmiastowe powiadomienie w przypadku naruszenia danych
B: Natychmiastowe powiadomienie w przypadku każdego incydentu cybernetycznego wpływającego na operacje biznesowe.
C: Raport końcowy opisujący incydent, rodzaj zagrożenia, dotkliwość i konsekwencje oraz zastosowane i trwające środki.
D: Wszystkie powyższe
Organizacje muszą niezwłocznie zgłaszać wszystkie incydenty cybernetyczne, które mają wpływ na działalność biznesową, w tym naruszenia danych.
Krajowe Centrum Cyber Security pisze: "Dyrektywa NIS2 wymaga od podmiotów zgłaszania incydentów regulatorowi w ciągu 24 godzin. Są to incydenty, które (mogą) znacząco zakłócić świadczenie usługi kluczowej. W przypadku incydentu cybernetycznego należy go również zgłosić do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)".
Wymóg raportowania obejmuje dwa raporty:
Bezpośrednie raportowanie:
Organizacje muszą jak najszybciej sporządzić raport zawierający niezbędne informacje, takie jak to, co się stało, jaka jest (możliwa) przyczyna i jakie nielegalne lub złośliwe działanie miało miejsce. Organizacje dokonają zgłoszenia do odpowiedniego organu krajowego lub zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Władze lub CSIRT odpowiedzą na zgłoszenie w ciągu 24 godzin.
Powiadomienie końcowe:
W ciągu miesiąca od pierwszego powiadomienia organizacje muszą przedłożyć raport końcowy. Raport ten musi zawierać następujące informacje:
Jouw antwoord:
A: Październik 2023 r.
B: Marzec 2024 r.
C: Październik 2024 r.
W grudniu 2022 r. osiągnięto porozumienie na szczeblu europejskim. Porozumienie to weszło w życie miesiąc później. Od tego czasu państwa członkowskie mają 21 miesięcy na transpozycję NIS2 do prawa krajowego.
Oznacza to, że NIS2 wejdzie w życie w Holandii nie później niż w październiku 2024 roku.
Zauważ, że w Holandii mówi się o NIB2 (Network and Information Security) zamiast NIS2.