O nas
Oferta
Aktualności
Case Study
Kariera
EN
Unia Europejska
Kontakt
Polityka prywatnościRegulamin
Kontakt

Nowy wymiar cyberbezpieczeństwa NIS 2

14/3/2025

Nowy wymiar cyberbezpieczeństwa NIS 2

W dzisiejszym cyfrowym świecie, bezpieczeństwo informacji i zapewnienie odpowiedniego poziomu ochrony infrastruktury krytycznej są priorytetami dla państw Unii Europejskiej. Dyrektywa NIS 21 wprowadza nowe wymogi, kładąc większy nacisk na koordynację między państwami członkowskimi, rozszerzenie zakresu podmiotów objętych regulacjami oraz zaostrzenie wymogów dotyczących zarządzania ryzykiem i reagowania na incydenty.

Wymogi NIS 2 wpływają również na sektor kwalifikowanych usług zaufania zdefiniowanych w Rozporządzeniu eIDAS2, a podmioty je świadczące zostały uznane jako kluczowe zgodnie z ww. dyrektywą. Pociąga to za sobą konieczność sprostania przez nie jeszcze wyższym wymogom cyberbezpieczeństwa niż dotychczas. Warto zaznaczyć, że wymienione w Dyrektywie NIS 2 obowiązki dotyczące cyberbepzieczeństwa stanowią uzupełnienie wymogów nałożonych na dostawców usług zaufania przez Rozporządzenie eIDAS. NIS 2 nakłada na te podmioty obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem związanym z bezpieczeństwem sieci i systemów informatycznych oraz zobowiązuje je do niezwłocznego zgłaszania incydentów mających znaczący wpływ na świadczenie usług do właściwych organów krajowych. Niemniej wymogi dotyczące dostawców kwalifikowanych usług zaufania określone w Rozporządzeniu eIDAS nadal mają zastosowanie.

Zarządzanie ryzykiem

Środki zarządzania ryzykiem mają na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Obejmują one co najmniej następujące elementy:

  • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • obsługę incydentu;
  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem, a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Poważne incydenty

NIS 2 zobowiązuje dostawcę usług zaufania do zgłaszania poważnych incydentów, które mają wpływ na świadczenie jego usług, do odpowiedniego CSIRT-u lub, w stosownych przypadkach, właściwemu organowi, najpóźniej do 24 godzin od otrzymania informacji o takim incydencie. Za poważny incydent NIS 2 uznaje taki, który:

  • spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
  • wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Idąc dalej Rozporządzenie wykonawcze3 do NIS 2 określa kryteria dla poważnych incydentów dotyczących dostawców usług zaufania tj:

  • usługa zaufania jest całkowicie niedostępna przez ponad 20 minut;
  • usługa zaufania jest niedostępna dla użytkowników lub stron ufających przez okres dłuższy niż jedna godzina w tygodniu kalendarzowym;
  • ograniczona dostępność usługi zaufania ma wpływ na ponad 1 % użytkowników lub stron ufających w Unii lub ponad 200 000 użytkowników lub stron ufających w Unii, w zależności od tego, która z tych liczb jest mniejsza;
  • fizyczny dostęp do obszaru, na którym znajdują się sieci i systemy informatyczne i do którego dostęp ma wyłącznie zaufany personel dostawcy usług zaufania, lub ochrona takiego fizycznego dostępu zostały naruszone;
  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi zaufania zostały naruszone, co ma wpływ na ponad 0,1 % użytkowników lub stron ufających lub ponad 100 użytkowników lub stron ufających, w zależności od tego, która z tych liczb jest mniejsza, korzystających z usługi zaufania w Unii.

Powyższe aspekty będą odpowiednio weryfikowane, ponieważ kwalifikowani dostawcy usług zaufania zostaną objęci kompleksowym systemem nadzoru ex-ante i ex-post, które oceniają zgodność z NIS 2 i Rozporządzeniem eIDAS.

UE zachęca do korzystania z kwalifikowanych usług zaufania

Szacuje się, że NIS 2 wg różnych źródeł obejmie ponad 150 tysięcy podmiotów w całej UE, zaś w Polsce ok. 10 tys. firm.

Dostosowanie się do nowej regulacji to z jednej strony często spore inwestycje infrastrukturalne czy osobowe, z drugiej zaś, unifikacja standardów w zakresie cyberbezpieczeństwa w UE. Ułatwi to współpracę między podmiotami transgranicznymi oraz zwiększy odporność cyfrową na cyberzagrożenia.

Na kwalifikowane usługi zaufania należy więc spojrzeć także pod kątem ich wykorzystania w zakresie uzyskania zgodności z NIS 2 przez podmioty z sektorów objętych dyrektywą. Na korzyści z outsourcingu zabezpieczeń wymaganych przez NIS 2 do kwalifikowanych dostawców usług zaufania wprost wskazuje fragment artykułu 24 tej regulacji:

„… państwa członkowskie zachęcają podmioty kluczowe i ważne do korzystania z kwalifikowanych usług zaufania.”

Kwalifikowane usługi zaufania mogą wesprzeć realizację następujących wymogów NIS2:

Ochrona integralności i autentyczności danych

Wymóg integralności danych mogą zaadresować kwalifikowane podpisy elektroniczne i pieczęci elektroniczne, których zastosowanie wprost zapewnia autentyczność (źródło pochodzenia) i integralność danych, co jest kluczowe w sektorach objętych NIS 2.

Bezpieczne przysłanie danych

Kwalifikowana usługa doręczania elektronicznego gwarantuje poufność i integralność przesyłanych danych, przez co wpisuje się w wymagania NIS 2 w zakresie bezpiecznej informacji wymienianej między poszczególnymi podmiotami.

Zgodność z wymogami prawa

Kwalifikowane usługi zaufania są już zgodne z przepisami UE, co pozwala podmiotom objętym NIS 2 uniknąć konieczności opracowywania własnych rozwiązań.

Interoperacyjność w UE

Interoperacyjne usługi zaufania wspierają wymianę danych między państwami i organizacjami w ramach UE, co jest kluczowe dla efektywnej koordynacji działań w przedsiębiorstwach realizujących działalność transgranicznie.

Podsumowanie

Kwalifikowane usługi zaufania stanowią solidny fundament funkcjonalny i technologiczny dla realizacji wielu wymogów NIS 2, a ich umiejętne zastosowanie minimalizuje ryzyko cyberzagrożeń i ułatwia podmiotom spełnienie obowiązków z niej wynikających. Dyrektywa stanowi istotny krok w kierunku zwiększenia poziomu cyberbezpieczeństwa w Unii Europejskiej, w tym w sektorze kwalifikowanych usług zaufania. Choć wiąże się z licznymi wyzwaniami, jej wdrożenie może przyczynić się do zwiększenia zaufania do usług cyfrowych oraz poprawy odporności na zagrożenia cybernetyczne.

Planowana zmiana ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych usług (KSC) jest wciąż niewdrożoną implementacją NIS 2 w Polsce, bez której nie możemy mówić o wdrożeniu pełnego mechanizmu prawnego w zakresie realizacji wymogów NIS 2.

1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.U. L 333 z 27.12.2022, str. 80).

2 Rozporządzenie Parlamentu Europejskiego I Rady (UE) nr 910/2014 z dnia 23 lipca 2014r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE zmienione przez: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r.

3 ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/2690
z dnia 17 października 2024 r. ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania

No items found.
Najnowsze treści:

Nowy wymiar cyberbezpieczeństwa NIS 2

14.3.2025
14.3.2025

Asseco dołączyło do Związku Polskiego Leasingu

11.3.2025
11.3.2025

Europę musi być stać na technologiczną suwerenność

11.2.2025
7.3.2025

Skuteczna komunikacja i niezawodność niezbędne dla sukcesu e-Doręczeń

28.1.2025
7.3.2025
Najnowsze treści:
11.3.2025
11.3.2025

Asseco dołączyło do Związku Polskiego Leasingu

Dowiedz się więcej
11.2.2025
7.3.2025

Europę musi być stać na technologiczną suwerenność

Dowiedz się więcej
28.1.2025
7.3.2025

Skuteczna komunikacja i niezawodność niezbędne dla sukcesu e-Doręczeń

Dowiedz się więcej

Kontakt

Telefon
+48 58 740 40 00
Email
[email protected]
+48 58 740 40 00
[email protected]
Asseco Data Systems S.A.
ul. Jana z Kolna 11, Gdańsk, 80–864
Menu
O nasOfertaAktualnościCase studyKarieraKontakt
Aktualności
Nowy wymiar cyberbezpieczeństwa NIS 2
Asseco dołączyło do Związku Polskiego Leasingu
Europę musi być stać na technologiczną suwerenność
Skuteczna komunikacja i niezawodność niezbędne dla sukcesu e-Doręczeń
Asseco i Polska Wytwórnia Papierów Wartościowych rozpoczynają współpracę w zakresie dostarczania kwalifikowanych podpisów elektronicznych dla obywateli
Wdrożenie w urzędzie e-Doręczeń to nawet 300 tys. zł. oszczędności na jednej wysyłce dokumentów
Polityka prywatnościRegulaminDane osoboweZgłaszanie naruszeń
Copyright © Asseco. All rights reserved
Szanowna Użytkowniczko, Szanowny Użytkowniku,
Klikając w przycisk "akceptuję" przyjmujesz do wiadomości, że ta strona korzysta z ciasteczek celem świadczenia bezpiecznych usług na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. Jeżeli nie wyrażasz zgody na korzystanie z ciasteczek, które nie są niezbędne do korzystania ze strony, możesz dokonać zmian ustawień w przeglądarce, z której korzystasz. Przeczytaj Politykę prywatności aby dowiedzieć się więcej.
Ustawienia plików cookieOdrzućAkceptuję