NIS2 | DORA
ZADBAJ O CYBERODPORNOŚĆ

Kary za NIS2 – co grozi firmom?

Wprowadzenie unijnej dyrektywy NIS2 nakłada na firmy działające w kluczowych sektorach gospodarki rygorystyczne obowiązki w zakresie cyberbezpieczeństwa. Niedostosowanie się do nowych przepisów może skutkować nie tylko paraliżem operacyjnym w razie ataku, ale także dotkliwymi sankcjami administracyjnymi, finansowymi i osobistymi.

Rekordowe kary finansowe

Wysokość kar pieniężnych jest uzależniona od klasyfikacji podmiotu (kluczowy lub ważny) oraz skali naruszenia:

Podmioty kluczowe: Maksymalna kara wynosi do 10 mln euro lub 2% łącznego rocznego światowego obrotu z poprzedniego roku obrotowego (zależnie od tego, która kwota jest wyższa). Minimalna kara w Polsce ma wynosić 20 tys. zł.

Podmioty ważne: Maksymalna kara wynosi do 7 mln euro lub 1,4% łącznego rocznego światowego obrotu. Minimalny próg kary to 15 tys. zł.

Naruszenia szczególne: W sytuacjach powodujących bezpośrednie zagrożenie dla bezpieczeństwa państwa lub życia ludzi, polskie przepisy przewidują kary sięgające nawet 100 mln zł.

Odpowiedzialność osobista zarządu

Dyrektywa NIS2 wprowadza rewolucję w odpowiedzialności kadry kierowniczej. Członkowie zarządu mogą odpowiadać osobiście za rażące zaniedbania w obszarze cyberbezpieczeństwa:

Kary pieniężne dla menedżerów: Mogą wynosić do 600% miesięcznego wynagrodzenia osoby kierującej podmiotem.

Zakazy zawodowe: Organ nadzorczy może wystąpić do sądu o nałożenie tymczasowego zakazu pełnienia funkcji kierowniczych przez osoby odpowiedzialne za naruszenia.

Sankcje administracyjne i operacyjne

Poza karami pieniężnymi, organy nadzorcze zyskują szereg uprawnień do egzekwowania przepisów:

Nakazy naprawcze: Obowiązek wdrożenia konkretnych środków bezpieczeństwa lub poddania się audytowi na koszt firmy.

Ograniczenia działalności: Możliwość czasowego zawieszenia certyfikacji lub zezwolenia na prowadzenie działalności w skrajnych przypadkach.

Powiadamianie klientów: Firmy mogą zostać zmuszone do publicznego poinformowania odbiorców swoich usług o wystąpieniu poważnych cyberzagrożeń.

Ryzyko utraty reputacji i odpowiedzialność karna

W Polsce zaniedbania prowadzące do poważnych incydentów (np. wycieku danych wrażliwych lub przerwania usług publicznych) mogą skutkować odpowiedzialnością karną, w tym karą pozbawienia wolności dla osób zarządzających. Dodatkowo, brak zgodności z NIS2 znacząco zwiększa ryzyko udanych ataków ransomware, co wiąże się z ogromnymi stratami finansowymi i wizerunkowymi.

WYZWANIA CYBERBEZPIECZEŃSTWA DLA FIRM

W STM Cyber doskonale rozumiemy, że dyrektywa NIS2 to nie tylko biurokratyczny obowiązek, ale przede wszystkim fundament odporności Twojego biznesu. Pomagamy firmom przejść przez proces certyfikacji i dostosowania technicznego, dbając o to, by systemy były bezpieczne, a zarząd mógł spać spokojnie, nie martwiąc się o kary finansowe.

Zabezpiecz swoją przyszłość z STM Cyber.

Co robimy dla Twojej firmy?

1 / Kompleksowy Audyt Zerowy

Analizujemy obecny stan zabezpieczeń i wskazujemy luki, które wymagają natychmiastowego uzupełnienia zgodnie z wymogami NIS2.

2 / Wdrażanie Środków Bezpieczeństwa

Pomagamy zaimplementować niezbędne narzędzia techniczne, takie jak systemy monitorowania incydentów, szyfrowanie oraz wieloskładnikowe uwierzytelnianie (MFA).

3 / Zarządzanie Ryzykiem i Ciągłością Działania

Opracowujemy procedury BCP (Business Continuity Plan), które gwarantują, że Twoja firma przetrwa nawet najpoważniejszy cyberatak.

4 / Szkolenia dla Kadry Kierowniczej

Edukujemy zarządy w zakresie ich nowych obowiązków i odpowiedzialności osobistej, co jest kluczowym wymogiem nowej dyrektywy.

5 / Procedury Raportowania:

Tworzymy mechanizmy pozwalające na sprawne zgłaszanie incydentów do organów nadzorczych w wymaganym czasie 24 i 72 godzin.

Dlaczego
STM Cyber?

1 / Praktyczne doświadczenie

Nie tylko interpretujemy przepisy, ale wdrażamy realne rozwiązania techniczne, które działają w codziennej praktyce biznesowej.

2 /Zindywidualizowane podejście

Rozumiemy różnice między podmiotami "kluczowymi" a "ważnymi", dostosowując intensywność i koszty działań do specyfiki Twojej branży.

3 / Pełne wsparcie

Od analizy stanu bezpieczeństwa po wdrożenie rozwiązań – jesteśmy z Tobą na każdym etapie dostosowywania się do NIS2 i DORA.

4 / Ochrona Zarządu

Nasze działania skupiają się na minimalizacji ryzyka odpowiedzialności osobistej członków zarządu, oferując im pełne wsparcie merytoryczne.

5 / Zgodność i Spokój

Z nami unikniesz dotkliwych kar finansowych (sięgających nawet 10 mln euro lub 2% obrotu) i zyskasz reputację godnego zaufania partnera.

NIS2

Dla kogo?
NIS2 dotyczy operatorów usług kluczowych, takich jak banki, dostawcy energii, transportu i innych sektorów, w tym także dostawców usług cyfrowych, które mają kluczowe znaczenie dla funkcjonowania gospodarki.

Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive 2) ma na celu podniesienie poziomu cyberbezpieczeństwa w Unii Europejskiej. Dotyczy ochrony infrastruktury cyfrowej oraz poprawy zarządzania ryzykiem. Nowe przepisy rozszerzają regulacje ustawy o Krajowym Systemie Cyberbezpieczeństwa, nakładając dodatkowe obowiązki na kluczowe i ważne podmioty w sektorach publicznym i prywatnym.

Nasze rozwiązanie:
STM Cyber wspiera firmy w pełnym dostosowaniu się do wymagań NIS2, oferując pomoc w zakresie audytów, szkoleń oraz wdrożenia systemów zabezpieczeń, które zapewnią zgodność z nowymi regulacjami.

Zakres dyrektywy NIS2
Nowe przepisy rozszerzają definicje kluczowych i ważnych podmiotów. Wymagają one zgłaszania poważnych incydentów cyberbezpieczeństwa w ciągu 24 godzin od ich wykrycia, a pełny raport musi zostać złożony w ciągu 72 godzin. Regulacje obejmują również bezpieczeństwo łańcucha dostaw oraz wdrożenie strategii zarządzania ryzykiem, takich jak:
• Polityka zarządzania ryzykiem
• Obsługa incydentów
• Polityka ciągłości działania
• Szkolenia z zakresu cyberbezpieczeństwa
• Kryptografia i szyfrowanie
• Bezpieczeństwo zasobów ludzkich
• Uwierzytelnianie wieloskładnikowe

Przygotowanie do wdrożenia NIS2
Aby przygotować się do wdrożenia NIS2, firmy muszą przeprowadzić audyty bezpieczeństwa, audyty ciągłości działania, testy penetracyjne oraz weryfikację czynnika ludzkiego i dostawców kluczowych usług. Ważne jest także podnoszenie kompetencji pracowników w zakresie cyberbezpieczeństwa poprzez regularne szkolenia.

Konsekwencje niedostosowania się do NIS2
Niedostosowanie się do wymogów dyrektywy NIS2 wiąże się z poważnymi konsekwencjami, w tym karami finansowymi. Kluczowe podmioty mogą zostać ukarane kwotą co najmniej 10 milionów euro lub 2% całkowitego rocznego obrotu firmy, natomiast ważne podmioty - 7 milionów euro lub 1,4% rocznego obrotu firmy. Dyrektywa NIS2 wprowadza również osobistą odpowiedzialność członków zarządu za niedostosowanie firmy do nowych wymogów.

Wpływ NIS2 na krajowy system cyberbezpieczeństwa
Dyrektywa NIS2 wprowadza jednolite standardy ochrony na terenie całej Unii Europejskiej, co zwiększy świadomość firm i pracowników na temat zagrożeń cyfrowych. Nowe przepisy wymuszą większe inwestycje w cyberbezpieczeństwo, co pozwoli na stworzenie silnych struktur oraz systemów na terenie całej Unii Europejskiej.
Dostosowanie do dyrektywy NIS2 jest kluczowe dla zwiększenia bezpieczeństwa sieci i systemów informatycznych, a także dla utrzymania ciągłości działania firm w obliczu rosnących zagrożeń cybernetycznych.

DORA

Rozporządzenie DORA – czym jest?
Digital Operational Resilience Act (Rozporządzenie o Operacyjnej Odporności Cyfrowej), w skrócie DORA, to unijny akt prawny zaostrzający wymogi dotyczące bezpieczeństwa cyfrowego sektora finansowego, fintechów oraz dostawców ICT funkcjonujących w obszarze UE. Jego głównym celem jest wzmocnienie odporności tych instytucji na zagrożenia związane z cyberbezpieczeństwem oraz zakłóceniami operacyjnymi, takimi jak ataki hakerskie, awarie IT czy błędy ludzkie.

Czym jest „operacyjna odporność cyfrowa”?
Operacyjna odporność cyfrowa, według rozporządzenia DORA, to zdolność instytucji finansowych do utrzymania ciągłości, niezawodności i jakości usług opartych na technologiach ICT, zarówno wewnątrz, jak i we współpracy z zewnętrznymi dostawcami. Oznacza to, że instytucje finansowe muszą być przygotowane na różne sytuacje kryzysowe i zakłócenia, które mogą wpływać na działanie ich systemów i sieci informatycznych.

Dla kogo?
DORA dotyczy instytucji finansowych, w tym banków, ubezpieczycieli, firm inwestycyjnych, dostawców usług chmurowych oraz innych podmiotów działających w sektorze finansowym.

Zawartość rozporządzenia DORA
DORA skupia się na pięciu kluczowych obszarach: zarządzaniu ryzykiem ICT, zarządzaniu incydentami związanymi z ICT, testowaniu cyfrowej odporności operacyjnej, zarządzaniu ryzykiem współpracy z zewnętrznymi dostawcami oraz wymianie informacji dotyczącej zagrożeń cybernetycznych.
1. Zarządzanie ryzykiem ICT Instytucje finansowe muszą ustanowić kompleksowe ramy zarządzania ryzykiem związanym z technologią informacyjno-komunikacyjną, obejmujące strategie, polityki, protokoły i narzędzia niezbędne do skutecznej ochrony infrastruktury cyfrowej.
2. Incydenty związane z ICT DORA reguluje proces zarządzania incydentami ICT, wymagając zgłaszania poważnych incydentów do odpowiednich organów oraz klasyfikacji zdarzeń według określonych kryteriów.
3. Testowanie cyfrowej odporności operacyjnej Instytucje muszą co najmniej raz w roku testować kluczowe systemy i aplikacje teleinformatyczne, obejmując różne aspekty, takie jak analiza open source, oceny bezpieczeństwa sieci, testowanie scenariuszy oraz testy penetracyjne.
4. Zarządzanie ryzykiem stron trzecich w branży ICT DORA reguluje współpracę z zewnętrznymi dostawcami usług ICT, wymagając oceny dostawcy, opracowania strategii wyjścia, planu przejścia oraz określenia kluczowych dostawców usług teleinformatycznych.
5. Ustalenia dotyczące wymiany informacji Instytucje finansowe mają obowiązek dzielenia się informacjami o zagrożeniach cybernetycznych oraz wynikami analizy tych zagrożeń.

Kary za nieprzestrzeganie rozporządzenia DORA
W przypadku naruszenia przepisów DORA, organy nadzoru mogą nałożyć kary finansowe na instytucje podlegające rozporządzeniu. Kary będą dostosowane do rodzaju naruszenia i jego wpływu na instytucję oraz sektor finansowy. Poważne naruszenia mogą skutkować karami do 10% rocznego obrotu organizacji.

Korzyści wynikające z wdrożenia przepisów DORA
Wdrożenie przepisów DORA przynosi wiele korzyści organizacjom finansowym, w tym:
• Zwiększenie cyberbezpieczeństwa
• Zmniejszenie ryzyka
• Zapewnienie zgodności z prawem
• Uniknięcie kar finansowych
• Budowa reputacji

Nasze rozwiązanie:
STM Cyber oferuje pełne wsparcie w zakresie przygotowania organizacji do wymagań DORA, w tym doradztwo, pomoc w opracowywaniu polityk bezpieczeństwa, przeprowadzaniu szkoleń oraz testów odporności systemów na ataki.