Dyrektywa NIS2 — co IOD musi wiedziec

NIS2 dotyczy dwoch kategorii podmiotow: podmiotow kluczowych i podmiotow waznych. Podmioty kluczowe obejmuja sektory takie jak energetyka, transport, bankowosc, infrastruktura rynkow finansowych, ochrona zdrowia, woda pitna, scieki, infrastruktura cyfrowa, zarzadzanie uslugami ICT i administracja publiczna. Podmioty wazne obejmuja sektory takie jak uslugi pocztowe, gospodarka odpadami, produkcja, produkcja zywnosci, chemia i dostawcy uslug cyfrowych. Progi wielkosci sa jednoznaczne: organizacje zatrudniajace 50+ pracownikow lub o rocznych przychodach 10+ mln EUR w tych sektorach sa automatycznie objete zakresem. Jednak niektore podmioty sa objete niezaleznie od wielkosci — takie jak dostawcy uslug DNS, rejestry TLD i dostawcy publicznych sieci lacznosci elektronicznej. Dla IOD oznacza to, ze wielu z ich obecnych klientow moze teraz miec obowiazki wynikajace z NIS2 oprocz wymagan RODO. Proaktywne identyfikowanie, ktorzy klienci podlegaja NIS2, pozycjonuje Cie jako cennego doradce strategicznego, a nie tylko osoby sprawdzajaca zgodnosc.

NIS2 wymaga od objetych organizacji wdrozenia kompleksowego zestawu srodkow zarzadzania ryzykiem cyberbezpieczenstwa. Obejmuja one: analize ryzyka i polityki bezpieczenstwa systemow informatycznych, procedury obslugi incydentow, ciaglosc dzialania i zarzadzanie kryzysowe, bezpieczenstwo lancucha dostaw, bezpieczenstwo w nabywaniu i rozwijaniu sieci i systemow informatycznych, polityki oceny skutecznosci srodkow cyberbezpieczenstwa, podstawowe praktyki higieny cybernetycznej i szkolenia, polityki dotyczace kryptografii, bezpieczenstwo zasobow ludzkich, kontrole dostepu i zarzadzanie aktywami. Organizacje musza rowniez zglaszac istotne incydenty krajowemu organowi w ciagu 24 godzin na wczesne ostrzezenie, 72 godzin na pelne zgloszenie i jednego miesiaca na raport koncowy. Ten trzypoziomowy obowiazek raportowania jest bardziej rygorystyczny niz 72-godzinne zgloszenie naruszenia RODO i wymaga dobrze przygotowanych procedur reagowania na incydenty. Pokrycie miedzy srodkami bezpieczenstwa NIS2 a art. 32 RODO (bezpieczenstwo przetwarzania) jest znaczne. IOD, ktorzy juz doradzaja klientom w zakresie srodkow technicznych i organizacyjnych w ramach RODO, sa dobrze przygotowani do rozszerzenia tego doradztwa na zgodnosc z NIS2.

Najistotniejsza zmiana wprowadzona przez NIS2 to osobista odpowiedzialnosc zarzadu. Art. 20 wymaga, aby organy zarzadcze zatwierdzaly i nadzorowaly wdrazanie srodkow cyberbezpieczenstwa. Musza rowniez przechodzic szkolenia z cyberbezpieczenstwa. Co wazne, czlonkowie organow zarzadczych moga byc pociagnieci do osobistej odpowiedzialnosci za naruszenia. Kary na mocy NIS2 sa znaczne: do 10 mln EUR lub 2% globalnego rocznego obrotu dla podmiotow kluczowych, oraz do 7 mln EUR lub 1,4% globalnego obrotu dla podmiotow waznych. Sa to kary dodatkowe — nie zamiast — kar wynikajacych z RODO. Ten aspekt osobistej odpowiedzialnosci jest tym, co nadaje pilnosc sprawom zarzadu. Jako IOD mozesz to wykorzystac do zabezpieczenia budzetu i uwagi dla projektow zgodnosci, ktore w innym przypadku moglyby byc odsuniete na dalszy plan. Czlonkowie zarzadu, ktorzy wczesniej postrzegali RODO jako centrum kosztow, nagle bardzo interesuja sie zgodnością, gdy ich osobisty majatek jest zagrozony.

Jako zewnetrzny IOD masz juz doglebna wiedze o krajobrazie przetwarzania danych klientow, srodkach bezpieczenstwa i strukturze organizacyjnej. To czyni Cie naturalnym doradca w zakresie zgodnosci z NIS2 — nie musisz zaczynac od zera. Zacznij od zmapowania pokrycia miedzy wymaganiami RODO i NIS2. Wiele srodkow technicznych i organizacyjnych, ktore Twoi klienci juz maja w ramach RODO (szyfrowanie, kontrole dostepu, procedury reagowania na incydenty), bezposrednio spelnia wymagania NIS2. Udokumentuj to pokrycie, aby pokazac klientom, ze nie zaczynaja od zera. Zaoferuj oceny gotowosci NIS2 jako usluge dodatkowa. Ustrukturyzowana lista kontrolna obejmujaca wszystkie obowiazki NIS2, zmapowana wzgledem tego, co klient juz posiada, dostarcza natychmiastowa wartosc i pozycjonuje Cie do stalego monitorowania zgodnosci. Uzyj narzedzia, ktore obsluguje zarowno RODO, jak i NIS2 w zunifikowanym panelu. Utrzymywanie oddzielnych systemow dla zgodnosci z RODO i gotowosci NIS2 podwaja naklad pracy i utrudnia identyfikacje synergii. Trustee.eu laczy obie ramy w jednym widoku, dzieki czemu mozesz doradzac holistycznie.