Pomoc zdalnaZadzwoń

NIS2 bez paniki.
Sprawdź, czy dotyczy Twojej firmy.

Nowe unijne przepisy o cyberbezpieczeństwie (dyrektywa NIS2) obejmują tysiące firm w Polsce. Tłumaczymy prosto: kogo dotyczą, jakie nakładają obowiązki i jak się przygotować, zanim klient lub regulator o to zapyta.

Bezpłatny audyt NIS2 Nasza usługa audytu

Co to jest NIS2?

NIS2 to dyrektywa Unii Europejskiej (2022/2555), która podnosi wymagania w zakresie cyberbezpieczeństwa firm i instytucji. W Polsce jest wdrażana przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nakłada konkretne obowiązki: techniczne, organizacyjne i raportowe, a za ich brak grożą wysokie kary.

W skrócie: jeśli Twoja firma działa w jednym z objętych sektorów lub współpracuje z dużym podmiotem, który podlega NIS2, najpewniej będziesz musiał wdrożyć określone środki bezpieczeństwa. Lepiej zrobić to spokojnie i z głową, niż w pośpiechu pod presją kontroli.

Zakres

Kogo dotyczy NIS2.

Średnie i duże firmy

Co do zasady firmy od około 50 pracowników lub 10 mln euro obrotu, działające w sektorach takich jak energetyka, transport, ochrona zdrowia, woda i ścieki, bankowość, produkcja (m.in. wyroby medyczne, elektronika, maszyny, pojazdy, chemia), żywność, gospodarka odpadami, usługi pocztowe i kurierskie, infrastruktura cyfrowa, administracja.

Niektórzy niezależnie od wielkości

Część podmiotów jest objęta bez względu na liczbę pracowników, m.in. dostawcy ważnych usług cyfrowych, telekomunikacja, kwalifikowani dostawcy usług zaufania czy operatorzy infrastruktury krytycznej.

Ważne, a często pomijane

Współpracujesz z dużą firmą lub instytucją? NIS2 może dotyczyć Cię pośrednio.

Podmioty objęte NIS2 mają obowiązek zadbać o bezpieczeństwo swojego łańcucha dostaw, czyli także swoich dostawców i podwykonawców. W praktyce duzi klienci będą wymagać od mniejszych partnerów spełnienia wymogów bezpieczeństwa w umowach. Oznacza to, że nawet mała firma, która formalnie nie podlega NIS2, może musieć wdrożyć odpowiednie środki, bo zażąda tego jej duży kontrahent. To tak zwany efekt kaskadowy. Warto być gotowym, zanim klient o to zapyta.

Wymagania

Główne obowiązki.

Zarządzanie ryzykiem

Polityki bezpieczeństwa, analiza ryzyka, kontrola dostępu, uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie danych, szkolenia pracowników.

Ciągłość działania

Kopie zapasowe, plany odtwarzania po awarii, regularne testy. Celem jest, aby firma działała nawet po poważnym incydencie.

Bezpieczeństwo łańcucha dostaw

Ocena i nadzór nad bezpieczeństwem dostawców oraz usługodawców, którzy mają dostęp do Twoich systemów i danych.

Zgłaszanie incydentów

Wczesne ostrzeżenie w 24 godziny, pełne zgłoszenie w 72 godziny, raport końcowy w ciągu około miesiąca.

Odpowiedzialność zarządu

Kierownictwo odpowiada za nadzór nad cyberbezpieczeństwem i może ponosić odpowiedzialność osobistą. Obowiązkowe są szkolenia dla zarządu.

Rejestracja i nadzór

Obowiązek rejestracji podmiotu oraz współpracy z właściwym organem i zespołem CSIRT.

24 h

Wczesne ostrzeżenie o incydencie do CSIRT.

72 h

Pełne zgłoszenie incydentu.

~30 dni

Raport końcowy po incydencie.

do 10 mln €

Maksymalna kara (lub 2 procent obrotu) dla podmiotów kluczowych.

Jak pomagamy

NIS2 z Smart Systems.

Prowadzimy firmę przez NIS2 krok po kroku, prostym językiem, bez straszenia i bez zbędnych zakupów.

1. Audyt i analiza luk

Sprawdzamy, czy i w jakim zakresie NIS2 dotyczy Twojej firmy, i co realnie trzeba zrobić.

2. Wdrożenie środków

Wprowadzamy zabezpieczenia techniczne i organizacyjne: dostęp, MFA, szyfrowanie, backup, monitoring, polityki.

3. Procedury i incydenty

Przygotowujemy procedury zgłaszania incydentów i plany ciągłości działania, tak aby firma była gotowa.

4. Łańcuch dostaw

Pomagamy spełnić wymogi, których oczekuje od Ciebie duży klient, oraz ocenić własnych dostawców.

Pierwszy krok

Nie wiesz, czy
NIS2 Cię dotyczy?

Umów bezpłatny audyt. W 15 minut powiemy, czy podlegasz NIS2 (bezpośrednio lub przez kontrahenta) i od czego zacząć. Bez zobowiązań.

Umów bezpłatny audyt +48 533 731 908