Cyberbezpieczeństwo przestało być tematem tylko dla działu IT. Dziś dotyczy praktycznie każdej firmy – zwłaszcza tych, które działają w kluczowych branżach i mają kontakt z danymi.
Właśnie dlatego Unia Europejska wprowadziła dyrektywę NIS2, czyli nowe przepisy, które mają zmusić firmy do traktowania bezpieczeństwa IT na poważnie.
Jeśli prowadzisz firmę albo odpowiadasz za dział HR, warto wiedzieć, kogo dotyczy NIS2, co trzeba zrobić i jakie grożą kary, jeśli temat zostanie zignorowany. Dlatego też w naszym artykule przybliżamy czym jest dyrektywa NIS2, kogo obejmuje i z czym się wiąże.
Zapraszamy do lektury!
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (ang. Network and Information Security Directive 2) to akt prawny Unii Europejskiej, który ma na celu podniesienie poziomu cyberbezpieczeństwa w krajach członkowskich UE. Zastępuje ona wcześniejszą dyrektywę NIS z 2016 roku i znacznie rozszerza jej zakres oraz wymagania.
NIS2 weszła w życie w styczniu 2023 roku, a na jej implementację państwa UE miały czas do października 2024 roku.
Wprowadza ona szereg obowiązków dla firm, w tym m.in. konieczność przeprowadzania analizy i zarządzania ryzykiem, wdrożenia polityki bezpieczeństwa systemów, zabezpieczenia łańcucha dostaw oraz opracowania Planu Ciągłości Działania. Zaostrzają się również wymagania w zakresie zgłaszania incydentów oraz przewidują surowsze sankcje za ich nieprzestrzeganie.
W obliczu konieczności spełnienia powyższych wymogów oraz zapewnienia wyższego poziomu bezpieczeństwa firmy w dobie cyfryzacji zasobów, funduszy i danych wrażliwych pracowników oraz klientów, kluczowe staje się zatrudnienie specjalisty IT odpowiedzialnego za obszar cyberbezpieczeństwa.
Sprawdź nasz artykuł: „Cybersecurity – Rekrutacja Specjalistów IT. Porady od Agencji Rekrutacyjnej IT”.
Kogo dotyczy dyrektywa NIS2?
Dyrektywa NIS2 dotyczy przede wszystkim średnich i dużych przedsiębiorstw oraz instytucji publicznych działających w sektorach kluczowych i ważnych dla bezpieczeństwa i gospodarki Unii Europejskiej.
Wdrożenie dyrektywy NIS2 obejmuje między innymi firmy z branż takich jak energetyka, transport, ochrona zdrowia, bankowość, dostawcy usług cyfrowych (np. chmura, rejestratorzy domen), a także instytucje administracji publicznej.
Wśród tak zwanych „podmiotów ważnych” znajdują się także producenci sprzętu elektronicznego, dostawcy usług pocztowych, firmy z branży chemicznej oraz przedsiębiorstwa działające w obszarze badań i rozwoju.
Główne wymagania i obowiązki w dyrektywie NIS2
Dyrektywa NIS2 nakłada na firmy konkretne obowiązki, które mają realnie zwiększyć poziom ich cyberbezpieczeństwa.
Przede wszystkim chodzi o wdrożenie skutecznych środków technicznych i organizacyjnych, takich jak: zarządzanie ryzykiem, kontrolę dostępu, szyfrowanie czy też monitoring systemów.
Kluczowe incydenty trzeba zgłaszać szybko, bo w ciągu 24 godzin od wykrycia. Co istotne to fakt, że większa odpowiedzialność spoczywa teraz na zarządach firm – nie da się już tego „zlecić komuś z IT”, ponieważ pełna odpowiedzialność będzie ciążyć na nich, ze względu na nie dopilnowanie właściwego wdrożenia dyrektywy.
Oprócz tego obowiązkowe są szkolenia pracowników, lepsze zabezpieczenie całego łańcucha dostaw i gotowość na audyty ze strony organów nadzorczych.
Kary za nieprzestrzeganie dyrektywy NIS2
Za nieprzestrzeganie dyrektywy NIS2 grożą poważne konsekwencje, które mają wymusić realne działania w zakresie cyberbezpieczeństwa.
Przede wszystkim mogą to być wysokie kary finansowe, sięgające nawet kilku milionów euro lub procentu rocznego obrotu firmy. Dodatkowo, osoby z zarządu mogą ponieść odpowiedzialność osobistą, łącznie z zakazem pełnienia funkcji kierowniczych.
W niektórych przypadkach możliwe są też sankcje administracyjne lub inne środki wymuszające naprawę naruszeń, co sprawia, że ignorowanie wymagań NIS2 po prostu się nie opłaca.
Wsparcie w rekrutacji specjalistów IT oraz CyberSecurity w zgodzie z dyrektywą NIS2 – Next Technology Professionals
Potrzebujesz wsparcia przy wdrażaniu dyrektywy NIS2 lub przy rekrutacji specjalisty IT odpowiedzialnego za cyberbezpieczeństwo w Twojej firmie?
Jesteśmy agencją rekrutacyjną IT i outsourcingową IT, która od 10 lat profesjonalnie przeprowadza procesy rekrutacyjne dla firm z całej Polski i zagranicy. Mamy szeroką wiedzę na temat rekrutacji w IT, a także w finansach, iżynierii, marketingu i w rekrutacjach C-level.
Skontaktuj się z nami na kontakt@nexttechnology.io, wypełnij formularz kontaktowy lub zapisz się na bezpłatną konsultację.
