Dyrektywa dotycząca bezpieczeństwa sieci i informacji (NIS2) – narzędzie Deloitte do oceny dojrzałości przedsiębiorstwa
Nasz Zespół ds. strategii cybernetycznej pomoże Państwu przeprowadzić pełną ocenę przygotowania przedsiębiorstwa do wymagań wynikających z dyrektywy NIS2 i krajowych przepisów implementujących tę dyrektywę.
Obecnie państwa członkowskie UE opracowują krajowe przepisy implementujące postanowienia dyrektywy NIS2. Oczekuje się, że nowe akty prawne powinny wejść w życie na początku 2025 roku. Czas najwyższy zapoznać się z dyrektywą NIS2 i zacząć przygotowania.
Dyrektywa dotycząca sieci i systemów informacyjnych – powszechnie znana pod nazwą NIS2 – jest aktem prawnym Unii Europejskiej, określającym zasady i wymagania dotyczące cyberbezpieczeństwa oraz systemów i sieci teleinformatycznych. Dyrektywa ta zastąpiła wcześniejszą dyrektywę (NIS) i obowiązuje od początku 2023 roku. Nowe przepisy wprowadzono w celu wzmocnienia odporności na cyberzagrożenia występujące w UE poprzez harmonizację wymagań bezpieczeństwa i obowiązków sprawozdawczych, objęcie przepisami nowych obszarów (m.in. zarządzania łańcuchem dostaw, zarządzania podatnością i higieny cybernetycznej) oraz poprawę współpracy i wymiany wiedzy między państwami członkowskimi UE. W efekcie, obok rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (potocznie zwanego rozporządzeniem DORA) i dyrektywy CER, NIS2 jest kolejnym unijnym instrumentem legislacyjnym zmierzającym do zwiększenia cyfrowej odporności operacyjnej i cyberbezpieczeństwa wszystkich istotnych podmiotów działających w UE.
Oferujemy usługi prawne i doradcze dotyczące dyrektywy NIS2, aby wspierać podmioty objęte jej przepisami w przygotowaniach do spełnienia nowych wymogów. Oprócz analiz wpływu prawnego i doradztwa prawnego, pomagamy też naszym klientom w identyfikacji luk i dostosowaniu procesów biznesowych, struktury organizacyjnej, bazy kadrowej i infrastruktury technologicznej do wymagań określonych w dyrektywie.
Pierwszym krokiem na drodze do zapewnienia zgodności z przepisami jest kompleksowa ocena, która ujawni słabe strony i obszary wymagające ulepszeń. Taką analizę przeprowadzimy z wykorzystaniem naszych sprawdzonych autorskich narzędzi, pozwalających skutecznie wyszukać luki, wskazać potrzebne działania i ustalić ich kolejność. Nasze narzędzie do oceny dojrzałości przedsiębiorstwa pod kątem przygotowania do NIS2 uwzględnia wszystkie kluczowe aspekty NIS2 i dostarcza szczegółowej analizy obecnego stanu organizacji. Analiza opracowana w ten sposób obejmuje przegląd stwierdzonych nieprawidłowości oraz rekomendacje działań naprawczych, które należy podjąć, aby móc osiągnąć wyższy stopień dojrzałości.
Aby się dowiedzieć, jak dobrze Państwa firma jest przygotowana do wymagań NIS2, proszę wypełnić krótki kwestionariusz wstępnej oceny, narzędzia oceny dojrzałości w zakresie NIS2.
Zespół profesjonalistów Deloitte przeanalizuje Państwa odpowiedzi, a następnie prześle podsumowującą analizę mocnych i słabych stron, ze wskazaniem ogólnego poziomu dojrzałości organizacji. Powinno to pomóc Państwu zidentyfikować luki związane z NIS2 oraz opracować stosowne strategie poprawy sytuacji.
Jeżeli chcieliby Państwo dowiedzieć się więcej na temat naszych usług związanych z NIS2, prosimy odwiedzić naszą stronę internetową poświęconą NIS2 lub skontaktować się z nami bezpośrednio.
Ostateczną wersję NIS2 opublikowano w Dzienniku Urzędowym UE z 27 grudnia 2022 roku (we wszystkich językach urzędowych). Ze względu na to, że nowe regulacje zyskały status dyrektywy, państwa członkowskie są zobowiązane do transpozycji tych przepisów do krajowych porządków prawnych –mieli na to czas do 17 października 2024 roku.
Chociaż może się okazać, że poszczególne państwa nie dotrzymają tego terminu, przedsiębiorstwa powinny zacząć dostosowywać się do nowych przepisów jak najszybciej, zwłaszcza że procesy zapewnienia zgodności z nowymi regulacjami, w tym ocena bezpieczeństwa, audyty, konsultacje i wdrożenie odpowiednich narzędzi, są dość wymagające i mogą potrwać kilka miesięcy.
Dyrektywa ma zastosowanie do wszelkich regulowanych dostawców usług – zarówno tych wywodzących się z Unii, jak i tych, którzy prowadzą działalność w UE. NIS2 rozróżnia dwie kategorie podmiotów – Podmioty kluczowe (działające w sektorach takich jak administracja publiczna, infrastruktura cyfrowa, energetyka, finanse, transport) oraz Podmioty ważne (które świadczą usługi m.in. w zakresie gospodarki odpadami, badań czy produkcji). Dyrektywa NIS2 wpływa na ponad 18 sektorów, a jej przepisy wprowadzają dodatkowe zasady i nakładają obowiązki na przedsiębiorstwa w czterech głównych obszarach: zarządzania ryzykiem, odpowiedzialności korporacyjnej, ciągłości działania i sprawozdawczości.
Podmioty objęte zakresem NIS2 będą zobowiązane podjąć następujące czynności: wdrożyć odpowiednie środki w celu przeciwdziałania konkretnym formom zagrożeń cybernetycznych i zminimalizowania ich wpływu, zapewnić, że przedstawiciele kadry kierowniczej będą nadzorować i zatwierdzać narzędzia cyberbezpieczeństwa oraz że zostali oni odpowiednio przeszkoleni w tej dziedzinie, wprowadzić procesy raportowania incydentów bezpieczeństwa o znaczącym wpływie na świadczenie usług lub na odbiorców oraz opracować kompleksowe plany ciągłości działania, które przygotowują podmiot na wypadek poważnego incydentu cybernetycznego.
Narzędzie Deloitte do oceny przygotowania w zakresie wymogów NIS2