Unia Europejska wprowadza nowe przepisy, które mają zwiększyć bezpieczeństwo firm i instytucji działających w kluczowych sektorach gospodarki. To dwie powiązane dyrektywy: NIS2 i CER. Choć dotyczą różnych aspektów bezpieczeństwa, mają jeden wspólny cel – sprawić, by firmy i infrastruktura w Europie były bardziej odporne na awarie, ataki i kryzysy.

NIS2 – bezpieczeństwo cyfrowe i cyberatakom mówimy „nie”

Dyrektywa NIS2 (UE 2022/2555) dotyczy cyberbezpieczeństwa. W praktyce oznacza, że firmy z określonych branż będą musiały lepiej chronić swoje systemy IT, dane i komunikację. Nowe przepisy obejmą m.in. energetykę, transport, wodociągi, zdrowie, banki, infrastrukturę cyfrową, a także część firm produkcyjnych, w tym przemysł chemiczny i spożywczy. W zależności od skali działalności i znaczenia dla gospodarki firmy zostaną zakwalifikowane jako:

• podmioty kluczowe (essential entities) – większe firmy z najważniejszych sektorów,
• podmioty ważne (important entities) – średnie przedsiębiorstwa z branż istotnych dla funkcjonowania rynku.

Każda z nich będzie musiała wdrożyć procedury bezpieczeństwa, raportować incydenty do właściwych organów oraz regularnie analizować ryzyko. Państwa UE (w tym Polska) mają obowiązek wprowadzić przepisy wykonawcze do NIS2 – w naszym kraju prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa wciąż trwają.

CER – odporność na zakłócenia i sytuacje kryzysowe

Druga dyrektywa – CER (UE 2022/2557) – dotyczy odporności podmiotów krytycznych. Skupia się na realnym funkcjonowaniu firm – na tym, by kluczowe usługi i infrastruktura działały nawet w razie poważnych zakłóceń: katastrof naturalnych, awarii, ataków fizycznych czy przerw w dostawach. CER obejmuje podobne sektory jak NIS2, m.in. energię, transport, wodę, zdrowie, infrastrukturę cyfrową, a także przemysł chemiczny. Firmy, które zostaną uznane za „podmioty krytyczne”, będą musiały: ocenić ryzyka dla swojej działalności, opracować plany ciągłości działania, wdrożyć środki zabezpieczające i szkolenia dla pracowników, zgłaszać poważne incydenty właściwym organom. Państwa członkowskie mają czas do lipca 2026 r., by zidentyfikować, które organizacje zostaną objęte tymi obowiązkami.

Co to oznacza dla firm w Polsce

W praktyce NIS2 i CER mogą dotyczyć również firm średniej wielkości, zwłaszcza tych, które współpracują z dużymi podmiotami z branż objętych regulacją. Dlatego nawet jeśli przedsiębiorstwo nie zostanie formalnie uznane za „podmiot kluczowy” lub „krytyczny”, warto zawczasu przygotować podstawowe procedury bezpieczeństwa i plan reagowania na incydenty. W tym celu warto rozważyć:

• analizę ryzyk i podatności systemów IT,
• aktualizację polityk bezpieczeństwa,
• opracowanie planu awaryjnego, który wskaże co robić w razie awarii, ataku lub przerwy w dostawach,
• szkolenia dla pracowników w zakresie bezpieczeństwa informacji,
• weryfikację zabezpieczeń u dostawców i partnerów.

W czasach, gdy cyberataki, awarie i kryzysy łańcuchów dostaw są coraz częstsze, inwestycja w bezpieczeństwo przestaje być obciążeniem czysto biurokratycznym, a może okazać się nieodzowna.

W razie gdyby potrzebowali państwo porady w tym zakresie, służymy pomocą.