Magdalena Auzbiter
Dokument NIS 2 to kontynuacja dyrektywy NIS, czyli pierwszego europejskiego prawa w zakresie cyberbezpieczeństwa. Nakłada ona szereg obowiązków na podmioty, które nie były wspomniane w pierwszej wersji dyrektywy. Są to m.in. przedsiębiorstwa w branży energetyki, transportu, bankowości i finansów, opieki zdrowotnej, administracji publicznej czy produkcji żywności.
Dodatkowo podmiotammi ważnymi z perspektywy NIS 2 są: usługi pocztowe i kurierskie, cyfrowe oraz firmy zajmujące gospodarowaniem odpadami, produkcją, przetwarzaniem i dystrybucją chemikaliów lub żywności, badania i produkcja.
To oznacza, że wiele polskich firm stanie przez wyzwaniem utworzenia systemu swojego cyberbezpieczeństwa na nowo – dyrektywa nakłada na nie obowiązek stałego monitoringu incydentów w środowisku i infrastrukturze IT czy właściwie zbudowanego i zabezpieczonego narzędzia i technologii chmurowej. Firmy będą musiały przekazywać raporty o zagrożeniach IT w ciągu 24 godzin od momentu jego wykrycia czy przeprowadzaniu „wstępnej oceny” w ciągu 72 godzin.
Niedopełnienie obowiązków może grozić karami finansowymi, do 2 proc. globalnego obrotu lub do 10 mln euro.
Poziom trudności wprowadzenia dyrektywy podnosi fakt, że hakerzy i ich ataki są coraz trudniejsze i podstępniejsze, natomiast same firmy często potrzebują nawet kilku mięsięcy, aby rozpoznać taką sytuację, a co dopiero na nią zareagować.
