Blog

Firmy szeroko inwestują w rozwiązania, które optymalizują pracę na każdym poziomie – od prostych systemów prezentujących dane produkcyjne, po kompleksowe systemy ERP do zarządzania przedsiębiorstwem. Otwarcie na świat urządzeń w warstwie produkcyjnej sprawia, że do czynników wpływających na stabilność działania zakładu należy dodać Cyberbezpieczeństwo.

Dyrektywa NIS2 to kluczowe narzędzie w zapewnieniu bezpieczeństwa cyfrowego, a przemysł musi dostosować się do nowych wymagań dotyczących ochrony systemów informatycznych oraz zgłaszania poważnych incydentów bezpieczeństwa.

Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 roku.

W 2016 roku Parlament Europejski i Rada EU wprowadziły dyrektywę NIS (Network and Information Systems Directive) „w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii”.

NIS był pierwszym dokumentem, który zajął się kwestią regulacji w obszarze zagrożenia cybernetycznego w Unii Europejskiej. W Polsce dyrektywa NIS zaowocowała uchwaleniem Ustawy o Krajowym Systemie Cyberbezpieczeństwa (2018).

W dniu 16 stycznia 2023 roku, w odpowiedzi na dynamiczne zmiany w obszarze cyberbezpieczeństwa, dyrektywa NIS została zastąpiona NIS2. Nowe przepisy wprowadzają zmiany, których celem jest lepsze zabezpieczenie przedsiębiorstw i infrastruktury krytycznej. Wśród głównych modyfikacji znajduje się rozszerzenie zakresu dyrektywy na nowe sektory przemysłu, włączając w to m.in. dostawców usług chmurowych oraz platformy handlowe online.

W Polsce regulacje NIS2 uwzględnione zostaną w nowych projektach ustaw o Krajowym Systemie Cyberbezpieczeństwa.

1. Ocena ryzyka i bezpieczeństwo łańcucha dostaw: Firmy powinny regularnie oceniać ryzyko cybernetyczne i stosować środki zaradcze. Dodatkowo, powinny monitorować bezpieczeństwo swoich dostawców, zwłaszcza jeśli ci korzystają z usług chmurowych lub zewnętrznych systemów.
2. Wzmocnione Zabezpieczenia Sieciowe: Firmy muszą podjąć środki zaradcze i reaktywne, aby zabezpieczyć swoje systemy przed potencjalnymi atakami w cyberprzestrzeni.
   
3. Szyfrowanie danych: Stosowanie szyfrowania danych zgodnie z dyrektywą NIS2 minimalizuje ryzyko konsekwencji prawnych związanych z naruszeniem bezpieczeństwa danych.
4. Testy penetracyjne: Przeprowadzanie testów penetracyjnych pozwala ocenić ryzyko związane z cyberatakami, co prowadzi do wzmocnienia ogólnego bezpieczeństwa organizacji oraz zwiększenia jej odporności na cyberzagrożenia.
5. Zgłaszanie Incydentów: Nowe przepisy wymagają, aby firmy zgłaszały istotne incydenty dotyczące bezpieczeństwa.
6. Współpraca Międzysektorowa: NIS2 promuje kooperację pomiędzy różnymi branżami oraz instytucjami regulacyjnymi w celu skuteczniejszego rozpoznawania i reagowania na zagrożenia.
7. Zapewnienie Kontynuacji Działalności: Firmy muszą stworzyć plany zapewnienia ciągłości działania w przypadku ataków w cyberprzestrzeni, aby ograniczyć ewentualne szkody i czas przestoju.
8. Większa Odpowiedzialność: NIS2 zwiększa odpowiedzialność firm za ochronę danych i infrastruktury przed atakami cybernetycznymi.

Dyrektywa NIS2 stawia przed większością firm, zwłaszcza w sektorze przemysłowym, wymóg dostosowania się do nowych wytycznych i regulacji.
Oto kluczowe punkty do uwzględnienia:

• Jeśli jesteś przedsiębiorcą z infrastrukturą krytyczną (tzw. podmiot kluczowy) zatrudniającym 50 lub więcej pracowników i mającym roczne przychody w wysokości 10 milionów Euro i/lub roczną sumę bilansową do 43 milionów Euro to jesteś zobligowany do wdrożenia założeń dyrektywy NIS2.
  
• Do podmiotów obejmujących dyrektywę dodano również 7 sektorów nazwanych podmiotami ważnymi, które wcześniej nie były poddane rygorystycznym regulacjom.
  
• Specjalne przypadki to firmy, np. kwalifikowani dostawcy usług czy dostawcy usług DNS, które muszą uwzględnić dyrektywę NIS2, niezależnie od swojej wielkości.
  

Dla firm produkcyjnych, które często posiadają rozległe systemy informatyczne oraz infrastrukturę podatną na ataki cybernetyczne, niedostosowanie się do wymogów może przynieść wiele negatywnych konsekwencji prawnych i finansowych.

Brak zgodności z wymogami NIS2 zwiększy ryzyko ataków cybernetycznych na systemy produkcyjne, co może prowadzić do zakłóceń w produkcji, utraty danych lub nawet uszkodzenia infrastruktury. Ponadto incydenty związane z atakami cybernetycznymi mogą prowadzić do poważnych strat finansowych, straty reputacji firmy, kar prawnych (np. związanych z wyciekiem danych) a w konsekwencji do utraty konkurencyjności i udziału w rynku.

Najpoważniejsze konsekwencje mogą ponieść tzw. podmioty kluczowe (dowiedz się czy Twoja firma jest podmiotem kluczowym). Podmioty kluczowe będą kontrolowane przez odpowiednie instytucje państwowe. W przypadku niedostosowania się do założeń dyrektywy może na nie zostać nałożona kara finansowa.