CYFRYZACJA: dyrektywa NIS 2 weszła w życie 16 stycznia 2023
Dyrektywa NIS niedługo zostanie wdrożona w Polsce i nakłada obowiązki także na firmy logistyczne.
Dyrektywa wprowadza dwie jasne kategorie podmiotów: kluczowe i ważne. Różnica pomiędzy podmiotami ważnymi i kluczowymi wyraża się w stosowaniu środków nadzoru. W przypadku podmiotów ważnych audyty są przeprowadzane po naruszeniach, nie są one też objęte kontrolami wyrywkowymi.
Dyrektywa obejmie 11 sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, wodociągi, spółki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i produkcja żywności. Na listę trafili też dostawcy produktów krytycznych, w tym systemów IT do sterowania ruchem kolejowym, transportem miejskim czy dostawami do strategicznych obiektów, a także operatorzy usług pocztowych i kurierskich.
Firmy z tych obszarów zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, a także przeprowadzania audytów bezpieczeństwa, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom. Za nieprzestrzeganie przepisów grozi grzywna do 10 mln euro i co najmniej 2 proc. globalnych obrotów dla podmiotów kluczowych i do 7 mln euro i co najmniej 1,4 proc. dla podmiotów ważnych. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek. Mogą oni zostać zawieszeni w ramach funkcji. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
Na początku stycznia w wykazie prac legislacyjnych i programowych Rady Ministrów pojawiła się kolejna wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Znalazły się w niej zapisy dotyczące współpracy operatorów przy tworzeniu strategii bezpieczeństwa, zgłaszania incydentów, zasad przyznawania certyfikatów. – Projekt wprowadza też niezwykle istotną w kontekście wykonania postanowień dyrektywy kategorię Operatora Strategicznej Sieci Bezpieczeństw.
Ustawa o KRC w zaproponowanym brzmieniu wywołuje sprzeciw wśród małych i średnich przedsiębiorstw, dla których rządowy projekt wiąże się z koniecznością wdrożenia blisko 200 nowych obowiązków. ( Źródło: Rzeczpospolita e – wydanie z dn.07.02.2023 r./HW)