Prawo cybernetyczne NIS2 dla kluczowych firm: jaka jest różnica między NIS1 a NIS2?

Od 16 stycznia 2023 r. europejska dyrektywa NIS2 ma zastosowanie do kluczowych firm. W Holandii znamy nową dyrektywę cybernetyczną jako NIB2. Jest ona następcą dyrektywy NIB1. Podobnie jak inne kraje UE, Holandia ma czas do 17 października 2024 r. na dostosowanie przepisów krajowych do europejskiego standardu. Co się zmieni? Wymieniamy je dla Ciebie.

Prawo cybernetyczne NIS ma teraz zastosowanie do kluczowych firm. Oznacza to, że pierwotne NIS1 ma zastosowanie do tych sektorów. Począwszy od 2024 r. wytyczne będą miały również zastosowanie do "kluczowych firm". Poprawi to cyberbezpieczeństwo w Holandii i Europie wśród większej liczby średnich i dużych firm.

Czym jest wytyczna NIS2?

Dyrektywa NIS2 jest następcą dyrektywy NIS1, która została wprowadzona wiele lat temu dla kluczowych przedsiębiorstw. Nowa dyrektywa NIS2 (oficjalnie: Dyrektywa (UE) 2022/2555)) została opublikowana przez ENISA, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. Dyrektywa określa minimalne wymogi bezpieczeństwa, a także obowiązek zgłaszania (poważnych) incydentów organom krajowym lub Europejskiemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Nowa dyrektywa zastępuje pierwotną, która weszła w życie w 2016 roku.

Są to główne różnice między NIS1 i NIS2:

• Dyrektywa ma zastosowanie do większej liczby sektorów
  Dyrektywa NIS2 ma zastosowanie zarówno do istotnych spółek, jak i dużych przedsiębiorstw. Więcej średnich i dużych firm musi zacząć przestrzegać dyrektywy. Ponadto rząd holenderski może wyznaczyć mniejsze firmy o wysokim ryzyku bezpieczeństwa, które również muszą zacząć przestrzegać przepisów.
• Lista minimalnych podstawowych zabezpieczeń
  Dyrektywa jest bardziej konkretna dzięki liście minimalnych podstawowych zabezpieczeń, które firmy muszą wdrożyć. Dyrektywa narzuca podejście oparte na zarządzaniu ryzykiem.
• Podział na sektory istotne i kluczowe
  Nowa dyrektywa NIS dzieli spółki na sektory podstawowe i kluczowe. Znika rozróżnienie między operatorami usług podstawowych i dostawcami usług cyfrowych.
• Zajmij się bezpieczeństwem w łańcuchu dostaw
  Firmy muszą zacząć zajmować się zagrożeniami bezpieczeństwa w swoim łańcuchu dostaw. Obejmuje to ryzyko związane z relacjami z dostawcami.
• Ściślejszy nadzór
  Organy krajowe mają prawo do bardziej rygorystycznego nadzoru i egzekwowania przepisów. Nowa dyrektywa zrównuje systemy kar i wymogi sprawozdawcze we wszystkich państwach członkowskich.

Czym są kluczowe firmy?

Dyrektywa NIS ma zastosowanie do kluczowych przedsiębiorstw. Sektory te to:

• Energia
• Woda pitna
• Ścieki
• Transport
• Bankowość
• Rynki finansowe
• Infrastruktura cyfrowa
• Administracja publiczna
• Opieka zdrowotna
• Przestrzeń

Wskazówka: Zastanawiasz się, które spółki są "kluczowe" lub "ważne"? Pobierz tabelę Sektory objęte NIB2 z CBS.

Nowa dyrektywa NIS2 będzie miała również zastosowanie do dużych firm. Sektory te to:

• Usługi pocztowe i kurierskie
• Przetwarzanie i dystrybucja
• Przetwarzanie odpadów
• Dostawcy usług cyfrowych
• Firmy produkcyjne
• Przemysł chemiczny
• Przemysł spożywczy

Różnica w nadzorze między kluczowymi i ważnymi spółkami

Władze lokalne będą aktywnie monitorować kluczowe firmy. Nadzór nad kluczowymi firmami będzie miał miejsce po fakcie, jeśli pojawią się dowody incydentu.

Kluczowe i najważniejsze firmy będą miały obowiązek raportowania i obowiązek zachowania należytej staranności. Muszą wprowadzić zabezpieczenia w swoim łańcuchu dostaw i jasno komunikować, w jaki sposób radzą sobie z incydentami cybernetycznymi.

Dlaczego nowe wytyczne są ważne?

Nowa dyrektywa NIS2 powinna zwiększyć bezpieczeństwo sieci i systemów informatycznych w firmach. W ten sposób Holandia i cała Unia Europejska powinny stać się mniej podatne na cyberataki.

Minister Dilan Yeşilgöz-Zegerius (sprawiedliwość i bezpieczeństwo) powiedział: "Jesteśmy coraz bardziej zależni od procesów cyfrowych, zwłaszcza od czasu koronawirusa, kiedy coraz częściej pracujemy z domu. Ponadto widzimy rosnące zagrożenie cyfrowe zarówno ze strony przestępców, jak i podmiotów państwowych, które w obliczu wojny na wschodniej granicy Europy na razie nie ustąpi. Konieczne jest zatem podjęcie kolejnego kroku w celu podniesienia poziomu cyberbezpieczeństwa w UE. W ten sposób zapobiegniemy incydentom cyfrowym zakłócającym funkcjonowanie naszego społeczeństwa".

Minister Micky Adriaansens (sprawy gospodarcze i klimat) dodaje: "Musimy być czujni na ryzyko cyberataków. Skutki mogą być znaczące, takie jak puste półki w sklepach lub przerwy w produkcji przemysłowej. Zarządzanie bezpieczeństwem cyfrowym pozostaje indywidualną odpowiedzialnością firm i konsumentów. Jednak dzięki tym przepisom możemy zrobić krok w celu zapewnienia, że poziom cyber security wzrośnie wśród (średnich) podmiotów w ważniejszych sektorach".

Czy zostaniesz ukarany grzywną, jeśli nie zastosujesz się do przepisów?

Firmy, które nie zastosują się do nowej dyrektywy, otrzymają ostrzeżenie, następnie upomnienie, a następnie ryzyko wysokiej grzywny. Maksymalna grzywna wynosi 10 milionów euro lub dwa procent całkowitego rocznego obrotu średnich i dużych firm.

Zapobieganie szkodom spowodowanym cyberprzestępczością: co możesz zrobić?

Nawet bez prawa cybernetycznego, takiego jak NIB2 w Holandii, ważne jest, aby poważnie traktować cyberprzestępczość. Chronisz swoją firmę na przykład za pomocą:

• Bezpieczeństwo według projektu
  Rozpocznij każde spotkanie od (cyfrowego) bezpieczeństwa. Jakie środki podejmujesz, aby zapobiec nadużyciom i jakie są zagrożenia i słabe punkty? Myśląc o tym jako o standardzie, domyślnie konfigurujesz (nowe) systemy bardziej bezpieczne.
• Bezpieczne połączenie
  Korzystaj z bezpiecznego połączenia dla swojej firmy. Zapobiegaj niepożądanemu przeglądaniu lub nawet kradzieży danych przez inne osoby. Bezpieczne połączenie jest dostępne na całym świecie, w dowolnym czasie i z dowolnego miejsca.
• Przeszkol pracowników w zakresie cyberbezpieczeństwa
  Ci, którzy nie wiedzą, jakie są zagrożenia, nie mogą się przed nimi uchronić. Przeszkol pracowników i upewnij się, że rozpoznają słabe punkty i nie wpadają w pułapki zastawiane przez cyberprzestępców.

Jak EyeOn wykorzystuje Guardey do zapewnienia zgodności z NIS2

Firmy, które muszą zachować zgodność z NIS2, są zobowiązane do oferowania swoim pracownikom szkoleńsecurity awareness .

Nasz klient Gezamenlijke Brandweer Amsterdam (holenderska straż pożarna) jest kluczową organizacją i dlatego musi przestrzegać przepisów NIS2. Aby upewnić się, że ich pracownicy są przygotowani do rozpoznawania cyberzagrożeń, korzystają z Guardey, aby oferować szkolenia security awareness . Co tydzień ich zespół bierze udział w krótkim, 3-godzinnym wyzwaniu, które pomaga im powoli zdobywać wiedzę na temat cyber security .

Przeczytaj całą historię tutaj

Ułatw sobie pracę z Guardey

W Guardey rozumiemy, że możesz mieć wiele na głowie. Jak zachować zgodność z NIS2, jakie są luki w zabezpieczeniach w Twojej firmie i jak zapobiec włamaniu, naruszeniu danych lub innym cyberprzestępstwom?

Dlatego chcemy Ci to ułatwić. Dzięki Guardey wybierasz kompletne rozwiązanie cyber security za jednym razem. Działamy na zasadzie plug & play, zapewniając zarówno bezpieczne połączenie, ochronę przed złośliwym oprogramowaniem, jak i profesjonalne (ale zabawne!) szkolenie Twoich pracowników.

Czy chcesz ulepszyć stronę cyber security swojej firmy i zachować zgodność z nową dyrektywą NIS2? Poznaj nasze rozwiązanie lub zadaj nam swoje pytania. Chętnie wyjaśnimy, w jaki sposób możesz być chroniony przez Guardey w bardzo przystępny, prosty i niedrogi sposób.