UE zaostrza wymogi dotyczące cyberbezpieczeństwa dla infrastruktury i usług krytycznych w ramach dyrektywy NIS2 – co to oznacza dla małych firm?
Cyberbezpieczeństwo jest kluczową kwestią dla każdej firmy. Jednak nie wszystkie przedsiębiorstwa borykają się z tym samym poziomem cyberzagrożeń lub obowiązków regulacyjnych. W tym wpisie na blogu wyjaśnimy, czym jest dyrektywa NIS2, kogo dotyczy i czy małe firmy muszą podjąć działania.
Spis treści
- Czym jest dyrektywa NIS2?
- Czym jest „mała firma”?
- Prowadzę małą firmę, czy muszę spełniać wymogi dyrektywy NIS2?
- Prowadzę średnie przedsiębiorstwo, czy muszę spełniać wymogi dyrektywy NIS2?
- Dlaczego dostawca rozwiązań bezpieczeństwa miałby mi doradzać, abym rozważył dostosowanie się do dyrektywy NIS2, skoro prawo mówi mi, że nie muszę tego robić?
- Co wyróżnia rozwiązanie z zakresu cyberbezpieczeństwa, które pomaga mi spełnić wymogi dyrektywy NIS2?
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 to unijne przepisy dotyczące cyberbezpieczeństwa. Zawiera środki prawne mające na celu podniesienie ogólnego poziomu cyberbezpieczeństwa w UE. Od października 2024 r. przedsiębiorstwa świadczące określone, wymienione w dyrektywie usługi podstawowe lub zarządzające infrastrukturą krytyczną na terenie UE będą musiały spełniać jej wymogi dotyczące cyberbezpieczeństwa.
Dyrektywa NIS2 jest skierowana przede wszystkim do średnich i dużych przedsiębiorstw. Jak jednak ta inicjatywa wpłynie na Ciebie, jeśli prowadzisz małą firmę?
Czym jest „mała firma”?
Zalecenie Komisji Europejskiej 2003/361/WE1 jasno definiuje małą firmę jako przedsiębiorstwo zatrudniające mniej niż 50 osób i osiągające roczny obrót lub roczną sumę bilansową poniżej 10 mln euro.
Prowadzę małą firmę, czy muszę spełniać wymogi dyrektywy NIS2?
Dyrektywa NIS2 dotyczy przede wszystkim średnich i dużych przedsiębiorstw, a tylko bardzo niewielka część małych firm musi spełniać jej wymogi. Małe firmy, które świadczą wyłącznie usługi krytyczne i niezbędne, oraz te, które działają jako dostawcy sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej, dostawcy usług zaufania oraz rejestry nazw domen najwyższego poziomu (TLD), muszą spełniać wymogi dyrektywy NIS2, niezależnie od swojej wielkości.
Prowadzę średnie przedsiębiorstwo, czy muszę spełniać wymogi dyrektywy NIS2?
Przedsiębiorstwa zatrudniające od 50 do 249 osób, których roczny obrót nie przekracza 50 mln euro i/lub których roczny bilans nie przekracza 43 mln euro, są klasyfikowane przez UE jako „średnie przedsiębiorstwa”.
Jednak nawet jeśli prowadzisz średniej wielkości firmę, dyrektywa NIS2 będzie miała na Ciebie wpływ tylko wtedy, gdy działasz w jednym z kluczowych sektorów wyraźnie wymienionych w załącznikach do dyrektywy.
Dlaczego dostawca rozwiązań bezpieczeństwa miałby mi doradzać, abym rozważył dostosowanie się do dyrektywy NIS2, skoro prawo mówi mi, że nie muszę tego robić?
Rozwiązania w zakresie cyberbezpieczeństwa, które mają pomóc firmom w spełnieniu wymogów dyrektywy NIS2, są prawdopodobnie bardziej złożone i wymagają specjalistycznej wiedzy z zakresu bezpieczeństwa do wdrożenia i zarządzania. W związku z tym ich zakup i eksploatacja są prawdopodobnie droższe. Zazwyczaj są one również zaprojektowane do obsługi przez wewnętrzne zespoły ds. cyberbezpieczeństwa lub dostawcę zarządzanych usług bezpieczeństwa (MSSP).
Jednak w przypadku małych firm, które nie dysponują personelem IT i/lub wiedzą specjalistyczną w zakresie cyberbezpieczeństwa, im bardziej złożony jest system, tym większe jest prawdopodobieństwo jego nieprawidłowej konfiguracji, co może skutkować rozwiązaniem mniej bezpiecznym niż pożądane.
Ponadto żadne pojedyncze oprogramowanie nie może zapewnić pełnej zgodności z dyrektywą NIS 2, ponieważ wytyczne dyrektywy wykraczają daleko poza wdrożenie oprogramowania do cyberbezpieczeństwa, wymagając od firm podjęcia dodatkowych środków organizacyjnych i operacyjnych oraz przestrzegania rozbudowanych obowiązków dokumentacyjnych.
Warto również zaznaczyć, że dyrektywa NIS 2 opisuje wymagane środki bezpieczeństwa jedynie w sposób bardzo ogólny. Więcej szczegółów na temat konkretnych środków bezpieczeństwa wymaganych do spełnienia wymogów dyrektywy NIS 2 zostanie zawartych w aktach delegowanych Komisji Europejskiej oraz w lokalnych przepisach przyjętych przez poszczególne państwa członkowskie wdrażające dyrektywę NIS 2, z których żadne nie są obecnie w pełni znane.
Co wyróżnia rozwiązanie z zakresu cyberbezpieczeństwa, które pomaga mi spełnić wymogi dyrektywy NIS2?
Chociaż dyrektywa NIS2 wprowadza ważne środki w zakresie cyberbezpieczeństwa i odporności, większość przedsiębiorstw (niezależnie od wielkości) nie podlega jej rygorystycznym wymogom ze względu na sektor, w którym działają, oraz profil ryzyka. Jednak zrozumienie i dobrowolne wdrożenie niektórych z jej najlepszych praktyk może nadal przynieść korzyści małym firmom, poprawiając ich stan cyberbezpieczeństwa i pomagając budować zaufanie klientów.
| Zalecamy, aby wdrażane rozwiązania cyberbezpieczeństwa zapewniały: | Małe firmy, które nie muszą spełniać wymogów NIS2 | Firmy, które muszą spełniać wymogi NIS2 | |
|---|---|---|---|
| Ogólnie | Łatwość instalacji i użytkowania | ✔ | ✔ |
| Ochronę urządzeń za pomocą zawsze włączonego antywirusa i zapory sieciowej (firewall) | ✔ | ✔ | |
| Zabezpieczenie krytycznych danych biznesowych przed awariami i katastrofami | ✔ | ✔ | |
| Większe bezpieczeństwo zespołu podczas wykonywania codziennych obowiązków | ✔ | ✔ | |
| Zainstalowane zabezpieczenia, które pomagają | Chronić urządzenia przed złośliwym oprogramowaniem (malware) | ✔ | ✔ |
| Chronić urządzenia i dane przed oprogramowaniem wymuszającym okup (ransomware) | ✔ | ✔ | |
| Chronić dane przed kradzieżą w wyniku naruszenia bezpieczeństwa oraz ich sprzedażą | ✔ | ✔ | |
| Dostępne kopie zapasowe, które pomagają | Odzyskać dane w przypadku zgubienia lub kradzieży urządzeń | ✔ | ✔ |
| Wbudowane funkcje prywatności, które pomagają | Zapewnić, że hasła są złożone, ale łatwe do bezpiecznego przechowywania | ✔ | ✔ |
| Szyfrować dane podczas połączenia z niezabezpieczoną siecią | ✔ | ✔ | |
| Narzędzia rozwiązujące problemy, które pomagają | Dbać o to, aby oprogramowanie i sterowniki były zawsze aktualne | ✔ | ✔ |
| Utrzymywać płynne działanie komputerów PC | ✔ | ✔ | |
| Przeprowadzanie oceny ryzyka, aby sprawdzić, czy zwracasz wystarczającą uwagę na poniższe w obliczu poważnego cyberincydentu | Bezpieczeństwo systemów informatycznych | ✘ | ✔ |
| Zarządzanie kryzysowe | ✘ | ✔ | |
| Ciągłość operacyjna | ✘ | ✔ | |
| Zapewnienie bezpieczeństwa sieci i systemów informatycznych | ✘ | ✔ | |
| Stosowanie kryptografii i szyfrowania | ✘ | ✔ | |
| Posiadanie systemów do oceny skuteczności zarządzania ryzykiem | ✘ | ✔ | |
| Powiadamianie organów krajowych | W ciągu 24 godzin od wykrycia incydentu, z aktualizacją po 72 godzinach i ostateczną oceną miesiąc później. | ✘ | ✔ |
Produkty z zakresu cyberbezpieczeństwa klasy korporacyjnej są przeznaczone do użytku przez specjalistów ds. bezpieczeństwa lub dostawców zarządzanych usług bezpieczeństwa. Zazwyczaj mają one znacznie więcej funkcji, niż kiedykolwiek będzie potrzebował lub wykorzystał użytkownik z małej firmy.
Warto więc zastanowić się, czy zakup produktu lub usługi, która pomaga spełnić wymogi dyrektywy, ale nie ma związku z Twoją działalnością i posiada funkcje, z których nigdy nie skorzystasz, ma sens ekonomiczny.
Jeśli chcesz uzyskać więcej informacji na temat dyrektywy NIS 2, odwiedź stronę: https://eur-lex.europa.eu/eli/dir/2022/2555
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce