Rosnące uzależnienie od technologii cyfrowych w kluczowych branżach, takich jak transport, energetyka, ochrona zdrowia czy finanse, naraża europejskie przedsiębiorstwa na coraz częstsze i wyrafinowane cyberataki. W odpowiedzi na to zjawisko, Rada Unii Europejskiej przyjęła dyrektywę NIS-2, mającą na celu zwiększenie odporności firm na cyberzagrożenia.

Dyrektywa NIS-2: Co to jest?

Dyrektywa NIS-2, zastępująca dotychczasową dyrektywę NIS z 2016 roku, wprowadza spójne standardy i praktyki w zakresie cyberbezpieczeństwa, wymagania dotyczące procedur zgłaszania incydentów na terenie całej UE oraz promuje współpracę między państwami członkowskimi w zakresie wymiany informacji o zagrożeniach.

Państwa członkowskie mają obowiązek wprowadzić nowe przepisy do prawa krajowego do 17 października 2024 roku.

Aby poradzić sobie z przytłaczającym wzrostem ilości, szybkości i poziomu wyrafinowania zagrożeń, przedsiębiorstwa mogą wykorzystać rozwiązania sztucznej inteligencji (AI) nowej generacji, takie jak wirtualny analityk bezpieczeństwa. Rozwiązania te mogą analizować przychodzące zagrożenia w czasie krótszym niż sekunda, umożliwiając zespołom ds. bezpieczeństwa proaktywne powstrzymywanie przestępców i złośliwego oprogramowania, zanim przenikną do sieci – tłumaczy Ricardo Ferreira, CISO w firmie Fortinet.

Dyrektywa NIS-2 rozwiązuje wcześniejsze niejasności związane z dokumentem NIS i rozszerza przepisy na nowe branże, w tym dostawców infrastruktury cyfrowej.

Wprowadza klasyfikację podmiotów jako "istotne" i "ważne", co ma kluczowe znaczenie dla wymogów dotyczących cyberbezpieczeństwa.

Kto jest objęty dyrektywą NIS-2?

Zgodnie z dyrektywą, każda firma działająca w UE w przynajmniej jednej z kluczowych branż, zatrudniająca ponad 50 pracowników i osiągająca roczny obrót przekraczający 10 milionów euro, jest uważana za istotną lub ważną i podlega przepisom dyrektywy.

Szacuje się, że dzięki tej zmianie kryteriów w porównaniu z pierwotną dyrektywą NIS liczba objętych ochroną podmiotów może zwiększyć się nawet dziesięciokrotnie.

Szybsze reagowanie i wyższe kary: Nowe zmiany

NIS-2 wprowadza również szybszy proces zgłaszania incydentów naruszenia cyberbezpieczeństwa. Firmy muszą zgłosić wczesne ostrzeżenie w ciągu 24 godzin od uświadomienia sobie incydentu, a potem przeprowadzić wstępną ocenę w ciągu 72 godzin i przedstawić ostateczny raport w ciągu miesiąca.

Nowa dyrektywa przewiduje również wyższe kary finansowe za niestosowanie się do przepisów - do 10 milionów euro lub 2% rocznych przychodów globalnych.

Pomimo dwuletniego okresu wdrożenia, zapewnienie zgodności krajowych regulacji z NIS-2 będzie czasochłonne. Jeszcze bardziej uciążliwe będą terminy raportowania, które wymagają od firm inwestowania w technologie – podkreśla Ricardo Ferreira.

Kierunek przyszłości: Inwestycje w technologie

Wdrażanie przepisów NIS-2 będzie wymagało od firm inwestowania w nowoczesne technologie, aby sprostać wymogom raportowania.

Współczesne rozwiązania AI, takie jak wirtualny analityk bezpieczeństwa, mogą pomóc firmom szybko analizować i reagować na zagrożenia cybernetyczne.

Foto: Freepik