NIS2
DORA
NIS2
Nowa dyrektywa NIS2 w Unii Europejskiej
Unia Europejska wprowadziła dyrektywę NIS2, mającą na celu wzmocnienie poziomu cyberbezpieczeństwa w krajach członkowskich. Przepisy te, które wejdą w życie w październiku 2024 roku, nakładają na wybrane podmioty z różnych sektorów szereg wymagań. Z naszego artykułu dowiesz się, jakie zmiany wprowadza dyrektywa NIS2 i jak przygotować się do jej wdrożenia.
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive 2) ma na celu podniesienie poziomu cyberbezpieczeństwa w Unii Europejskiej. Dotyczy ochrony infrastruktury cyfrowej oraz poprawy zarządzania ryzykiem. Nowe przepisy rozszerzają regulacje ustawy o Krajowym Systemie Cyberbezpieczeństwa, nakładając dodatkowe obowiązki na kluczowe i ważne podmioty w sektorach publicznym i prywatnym.
Implementacja NIS2
Dyrektywa NIS2 została opublikowana 22 grudnia 2022 roku i zacznie obowiązywać 18 października 2024 roku. Po tej dacie Ministerstwo Cyfryzacji opublikuje listę przedsiębiorstw objętych NIS2, które będą miały sześć miesięcy na dostosowanie się do nowych wymogów.
Zakres dyrektywy NIS2
Nowe przepisy rozszerzają definicje kluczowych i ważnych podmiotów. Wymagają one zgłaszania poważnych incydentów cyberbezpieczeństwa w ciągu 24 godzin od ich wykrycia, a pełny raport musi zostać złożony w ciągu 72 godzin. Regulacje obejmują również bezpieczeństwo łańcucha dostaw oraz wdrożenie strategii zarządzania ryzykiem, takich jak:
• Polityka zarządzania ryzykiem
• Obsługa incydentów
• Polityka ciągłości działania
• Szkolenia z zakresu cyberbezpieczeństwa
• Kryptografia i szyfrowanie
• Bezpieczeństwo zasobów ludzkich
• Uwierzytelnianie wieloskładnikowe
Przygotowanie do wdrożenia NIS2
Aby przygotować się do wdrożenia NIS2, firmy muszą przeprowadzić audyty bezpieczeństwa, audyty ciągłości działania, testy penetracyjne oraz weryfikację czynnika ludzkiego i dostawców kluczowych usług. Ważne jest także podnoszenie kompetencji pracowników w zakresie cyberbezpieczeństwa poprzez regularne szkolenia.
Konsekwencje niedostosowania się do NIS2
Niedostosowanie się do wymogów dyrektywy NIS2 wiąże się z poważnymi konsekwencjami, w tym karami finansowymi. Kluczowe podmioty mogą zostać ukarane kwotą co najmniej 10 milionów euro lub 2% całkowitego rocznego obrotu firmy, natomiast ważne podmioty - 7 milionów euro lub 1,4% rocznego obrotu firmy. Dyrektywa NIS2 wprowadza również osobistą odpowiedzialność członków zarządu za niedostosowanie firmy do nowych wymogów.
Wpływ NIS2 na krajowy system cyberbezpieczeństwa
Dyrektywa NIS2 wprowadza jednolite standardy ochrony na terenie całej Unii Europejskiej, co zwiększy świadomość firm i pracowników na temat zagrożeń cyfrowych. Nowe przepisy wymuszą większe inwestycje w cyberbezpieczeństwo, co pozwoli na stworzenie silnych struktur oraz systemów na terenie całej Unii Europejskiej.
Dostosowanie do dyrektywy NIS2 jest kluczowe dla zwiększenia bezpieczeństwa sieci i systemów informatycznych, a także dla utrzymania ciągłości działania firm w obliczu rosnących zagrożeń cybernetycznych.
DORA
Unia Europejska, odpowiadając na rosnącą cyfryzację i związane z nią wyzwania, wprowadza różnorodne narzędzia legislacyjne. Jednym z nich jest rozporządzenie DORA (Digital Operational Resilience Act), które ma kluczowe znaczenie dla instytucji finansowych działających w UE. W artykule przeanalizujemy rozporządzenie DORA, wyjaśnimy, czym dokładnie jest, jakie podmioty finansowe obejmuje i jakie obowiązki narzuca.
Rozporządzenie DORA – czym jest?
Digital Operational Resilience Act (Rozporządzenie o Operacyjnej Odporności Cyfrowej), w skrócie DORA, to unijny akt prawny zaostrzający wymogi dotyczące bezpieczeństwa cyfrowego sektora finansowego, fintechów oraz dostawców ICT funkcjonujących w obszarze UE. Jego głównym celem jest wzmocnienie odporności tych instytucji na zagrożenia związane z cyberbezpieczeństwem oraz zakłóceniami operacyjnymi, takimi jak ataki hakerskie, awarie IT czy błędy ludzkie.
Czym jest „operacyjna odporność cyfrowa”?
Operacyjna odporność cyfrowa, według rozporządzenia DORA, to zdolność instytucji finansowych do utrzymania ciągłości, niezawodności i jakości usług opartych na technologiach ICT, zarówno wewnątrz, jak i we współpracy z zewnętrznymi dostawcami. Oznacza to, że instytucje finansowe muszą być przygotowane na różne sytuacje kryzysowe i zakłócenia, które mogą wpływać na działanie ich systemów i sieci informatycznych.
Kontekst powstania aktu unijnego DORA
Rozporządzenie DORA jest częścią unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, mającego na celu dostosowanie ram regulacyjnych do rozwoju technologii finansowych oraz ujednolicenie norm bezpieczeństwa cyfrowego w sektorze finansowym. Dokument opiera się na pracach i zaleceniach różnych europejskich instytucji, takich jak Europejski Bank Centralny, i stanowi wspólny akt prawny dla wszystkich podmiotów finansowych.
Termin wdrożenia przepisów DORA
Instytucje finansowe muszą wdrożyć przepisy DORA do 17 stycznia 2025 roku, co oznacza, że powinny już teraz zacząć przygotowywać się do spełnienia wymogów tego rozporządzenia.
Jakie instytucje muszą dostosować się do rozporządzenia DORA?
DORA obejmuje szeroki zakres podmiotów sektora finansowego, w tym tradycyjne instytucje finansowe, firmy fintech, dostawców usług ICT i wiele innych. Łącznie przepisy będą miały zastosowanie do ponad 22 000 instytucji finansowych w całej Unii Europejskiej.
Zawartość rozporządzenia DORA
DORA skupia się na pięciu kluczowych obszarach: zarządzaniu ryzykiem ICT, zarządzaniu incydentami związanymi z ICT, testowaniu cyfrowej odporności operacyjnej, zarządzaniu ryzykiem współpracy z zewnętrznymi dostawcami oraz wymianie informacji dotyczącej zagrożeń cybernetycznych.
1. Zarządzanie ryzykiem ICT Instytucje finansowe muszą ustanowić kompleksowe ramy zarządzania ryzykiem związanym z technologią informacyjno-komunikacyjną, obejmujące strategie, polityki, protokoły i narzędzia niezbędne do skutecznej ochrony infrastruktury cyfrowej.
2. Incydenty związane z ICT DORA reguluje proces zarządzania incydentami ICT, wymagając zgłaszania poważnych incydentów do odpowiednich organów oraz klasyfikacji zdarzeń według określonych kryteriów.
3. Testowanie cyfrowej odporności operacyjnej Instytucje muszą co najmniej raz w roku testować kluczowe systemy i aplikacje teleinformatyczne, obejmując różne aspekty, takie jak analiza open source, oceny bezpieczeństwa sieci, testowanie scenariuszy oraz testy penetracyjne.
4. Zarządzanie ryzykiem stron trzecich w branży ICT DORA reguluje współpracę z zewnętrznymi dostawcami usług ICT, wymagając oceny dostawcy, opracowania strategii wyjścia, planu przejścia oraz określenia kluczowych dostawców usług teleinformatycznych.
5. Ustalenia dotyczące wymiany informacji Instytucje finansowe mają obowiązek dzielenia się informacjami o zagrożeniach cybernetycznych oraz wynikami analizy tych zagrożeń.
Kary za nieprzestrzeganie rozporządzenia DORA
W przypadku naruszenia przepisów DORA, organy nadzoru mogą nałożyć kary finansowe na instytucje podlegające rozporządzeniu. Kary będą dostosowane do rodzaju naruszenia i jego wpływu na instytucję oraz sektor finansowy. Poważne naruszenia mogą skutkować karami do 10% rocznego obrotu organizacji.
Korzyści wynikające z wdrożenia przepisów DORA
Wdrożenie przepisów DORA przynosi wiele korzyści organizacjom finansowym, w tym:
• Zwiększenie cyberbezpieczeństwa
• Zmniejszenie ryzyka
• Zapewnienie zgodności z prawem
• Uniknięcie kar finansowych
• Budowa reputacji
Unia Europejska na straży cyberbezpieczeństwa
Wytyczne DORA, obok dyrektywy NIS2 i rozporządzenia Cyber Resilience Act, stanowią kolejny krok Unii Europejskiej w kierunku wzmacniania bezpieczeństwa cyfrowego. Przestrzeganie przepisów, wdrożenie odpowiednich środków ochrony i skuteczne zarządzanie ryzykiem ICT są kluczowe dla firm oraz klientów, którzy mogą liczyć na większą niezawodność i bezpieczeństwo usług.
Dlatego instytucje objęte DORA już teraz powinny przygotować się na nowe wymogi, aby uniknąć sankcji i zwiększyć swoją konkurencyjność oraz zaufanie na rynku usług cyfrowych.