Pierwsze opóźnienia we wprowadzaniu unijnej dyrektywy NIS 2

Nowe przepisy Unii Europejskiej wymagające od firm wzmocnienia cyberobrony mają niemrawy start, ponieważ wiele państw członkowskich nie przyjęło przepisów na czas, aby dotrzymać kluczowego terminu egzekwowania. Ta data to 17 października 2024 roku.. 

Jak podsumowuje CNBC, dyrektywa UE w sprawie cyberbezpieczeństwa NIS 2 ustanawia wysokie standardy dla firm w zakresie ich wewnętrznych systemów i praktyk cyberbezpieczeństwa. Nakłada surowsze wymagania dotyczące zarządzania ryzykiem, obowiązków przejrzystości i planowania ciągłości działania w przypadku naruszenia cyberbezpieczeństwa.

Oznacza to, że firmy muszą teraz upewnić się, że ich działalność jest zgodna z przepisami. Jednak większość państw członkowskich UE nie wdrożyła jeszcze NIS 2 do swoich własnych przepisów krajowych, co jasno pokazuje, że ​​egzekwowanie prawdopodobnie będzie nieregularne.

NIS 2, lub Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2, to dyrektywa UE, której celem jest zwiększenie bezpieczeństwa systemów informatycznych i sieci w całym bloku. Po raz pierwszy zaproponowana w 2020 r. ustawa stanowi aktualizację wcześniejszej dyrektywy zwanej po prostu NIS. NIS 2 rozszerza zakres swojej poprzedniczki, aby sprostać najnowszym wyzwaniom i zagrożeniom cyberbezpieczeństwa, ponieważ przestępcy znaleźli nowe sposoby na włamanie się do firm i naruszenie ich poufnych danych.

Portugalia i Bułgaria nie rozpoczęły jeszcze procesu transpozycji NIS 2, w którym dyrektywy są włączane do przepisów krajowych państw członkowskich UE, zgodnie z narzędziem śledzącym organizacji zajmującej się badaniami internetowymi DNS Research Federation.

Dyrektywa dotyczy organizacji, które działają w UE i świadczą podstawowe usługi konsumentom, w tym banków, dostawców energii, placówek opieki zdrowotnej, dostawców Internetu, firm transportowych i przetwórców odpadów.

Przedsiębiorstwa będą miały „obowiązek zachowania ostrożności” zgłaszania i udostępniania informacji o cyberzagrożeniach i atakach innym firmom na mocy nowego rozporządzenia – nawet jeśli oznacza to przyznanie się do bycia ofiarą cyberataku. Jeśli firma padnie ofiarą cyberataku, będzie miała 24 godziny na przesłanie władzom wczesnego powiadomienia ostrzegawczego – bardziej rygorystyczny harmonogram niż 72-godzinne okno, w którym firmy muszą powiadomić władze o naruszeniu danych na mocy ogólnego rozporządzenia o ochronie danych, odrębnego prawa dotyczącego prywatności danych w UE.

Firmy będą musiały również sprawdzać swoich dostawców technologii pod kątem cyberzagrożeń i podatności na ataki. Przedsiębiorstwa pracowały nad ukształtowaniem swoich wewnętrznych procesów, kontroli i szerszej kultury wokół cyberbezpieczeństwa przez lata przed czwartkowym terminem.

W przypadku „istotnych” podmiotów, takich jak firmy transportowe, finansowe i wodne, niedostosowanie się do NIS 2 może skutkować grzywnami w wysokości do 10 milionów euro (10,9 miliona dolarów) lub 2% globalnych rocznych przychodów – w zależności od tego, która kwota okaże się wyższa. Tymczasem „ważne” przedsiębiorstwa – takie jak firmy spożywcze, chemiczne i usługi gospodarki odpadami – mogą zostać ukarane grzywnami w wysokości do 7 milionów euro lub 1,4% globalnych rocznych przychodów za naruszenia. Firmy mogą również stanąć w obliczu możliwych zawieszeń usług, jeśli nie będą przestrzegać NIS 2, a także ściślejszego nadzoru.