Kontakt

NASZA OFERTA

Zapewnienie zgodności z NIS2, DORA, CER

Dyrektywa NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zwana NIS-2  to ogólnounijne prawodawstwo które wprowadzając środki prawne wymusza podjęcie istotnych zmian technicznych oraz organizacyjnych przez podmioty podlegające regulacji.

W dyrektywie NIS 2 dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne ustępuje miejsca podziałowi na podmioty kluczowe i ważne. Według szacunków podmiotów objętych tą regulacją w ramach Unii Europejskiej będzie ponad milion, obejmując wiele sektorów dotychczas będących poza obszarem zainteresowania regulatorów.

Najdotkliwszą zmianą wynikającą z NIS-2 jest wprowadzenie kar:

  • podmioty kluczowe dokonujące naruszeń będą podlegały  administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa.

  • podmioty ważne dokonujące naruszeń będą podlegały  administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa

Dyrektywa wymaga, aby podmioty kluczowe
i ważne wprowadzały odpowiednie
i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Na podmioty objęte dyrektywą NIS2 nałożono konieczność stosowania m.in. następujących środków: 

  • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych; 
  • obsługę incydentów;
  • zapewnienie ciągłości działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie; 
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa; 
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
$

24h

ostrzeżenie

$

72h

zgłoszenie

N

1M

sprawozdanie

Zgłoszenie incydentu – podmioty kluczowe lub ważne mają obowiązek zgłaszania incydentów, pod groźbą kary według następującego harmonogramu:

  • obowiązek wydania wczesnego ostrzeżenia bez zbędnej zwłoki,
    a w każdym razie w ciągu 24 godzin;
  • zgłoszenie incydentu bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia informacji o poważnym incydencie;
  • sprawozdanie końcowe należy złożyć nie później niż miesiąc po zgłoszeniu incydentu.

CISO4U zapewni Twojej firmie dostosowanie się do wymagań dyrektywy NIS2 oraz DORA, pozwoli na wypełnienie warunków początkowych oraz zapewnienie bieżącej zgodności z przepisami.

Usługa doradcza CISO4U wraz z ciągłym monitorowaniem Twojej infrastruktury pozwoli na raportowanie potencjalnych incydentów
w wymaganych prawnie ramach czasowych, co zminimalizuje ryzyko ewentualnych sankcji finansowych (kar administracyjnych). 

Sektory zidentyfikowane w Dyrektywie NIS-2

Sektory kluczowe:

  • Energetyka
  • Transport
  • Bankowość
  • Infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Woda pitna
  • Ścieki
  • Infrastruktura cyfrowa
    • dostawcy punktu wymiany ruchu internetowego
    • dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw
    • rejestry nazw TLD
    • dostawcy usług chmurowych
    • dostawcy usług ośrodka przetwarzania danych
    • dostawcy sieci dostarczania treści
    • dostawcy usług zaufania
    • dostawcy publicznych sieci łączności elektronicznej
    • dostawcy publicznie dostępnych usług łączności elektronicznej;
  • Zarządzanie usługami ICT (między przedsiębiorstwami)
    • dostawcy usług zarządzanych
    • dostawcy usług zarządzanych w zakresie bezpieczeństwa
  • Podmioty administracji publicznej,
  • Przestrzeń kosmiczna

Sektory ważne:

    • Usługi pocztowe i kurierskie
    • Gospodarowanie odpadami
    • Produkcja, wytwarzanie i dystrybucja chemikaliów
    • Produkcja, przetwarzanie i dystrybucja żywności
    • Produkcja
      • wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
      • komputerów, wyrobów elektronicznych i optycznych
      • produkcja urządzeń elektrycznych
      • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
      • produkcja pojazdów samochodowych, przyczep i naczep
      • produkcja pozostałego sprzętu transportowego
    • Dostawcy usług cyfrowych
      • dostawcy internetowych platform handlowych
      • dostawcy wyszukiwarek internetowych
      • dostawcy platform usług sieci społecznościowych
    • Badania naukowe

DORA – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554

z dnia 14 grudnia 2022 r

DORA to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego nakładające liczne obowiązki na podmioty sektora finansowego, ale także na zewnętrznych dostawców usług ICT.

Zakres podmiotowy obowiązywania DORA obejmuje instytucje kredytowe, płatnicze, dostawców informacji o rachunku, instytucje pieniądza elektronicznego, firmy inwestycyjne, operatorów giełd kryptowalut, repozytoria transakcji, spółki zarządzające, kontrahentów centralnych, zakłady ubezpieczeń i reasekuracji, pośredników ubezpieczeniowych, agencje ratingowe i wiele innych podmiotów szerokiego sektora finansowego.

Na podmioty sektora finansowego nałożono liczne obowiązki, w tym m.in.

  • określenie i wdrożenie ram zarządzania ryzykiem ICT, w tym reakcja na ryzyko, okresowa ocena ryzyka, podejmowanie działań minimalizacji wpływu ryzyka związanego z ICT oraz regularne audytowanie ram zarządzania ryzykiem.
  • identyfikacja, klasyfikacja i dokumentacja wszystkich wspieranych przez ICT funkcji biznesowych, zadania i obowiązki, zasoby informacyjne i zasoby ICT; identyfikacja źródeł ryzyka związanego z ICT; ocena ryzyka przy zarządzaniu zmianą a także zastosowanie udokumentowanych polityk, procedur i kontroli;
  • identyfikacja wszystkich zasobów krytycznych; monitorowanie i kontrola bezpieczeństwa i funkcjonowania systemów i narzędzi ICT oraz minimalizacja wpływ ryzyka związanego z ICT na systemy ICT;
  • na podstawie analizy ryzyka należyte zarządzanie siecią i infrastrukturą z wykorzystaniem odpowiednich technik, metod i protokołów, które mogą obejmować wdrażanie zautomatyzowanych mechanizmów izolowania zasobów informacyjnych na wypadek cyberataków;
  • wdrażanie polityk ograniczających fizyczny lub logiczny dostęp do zasobów informacyjnych i zasobów ICT; wdrażanie silnych mechanizmów uwierzytelniania;
  • wdrażanie skutecznych polityk dotyczących poprawek i aktualizacji;
  • opracowywanie, pozyskiwanie i wdrażanie polityk, procedur, protokołów i narzędzi w zakresie bezpieczeństwa ICT;
  • wprowadzenie kompleksowej strategii na rzecz ciągłości działania w zakresie ICT, testowanie planów ciągłości działania;
  • wdrażanie polityk i procedur tworzenia kopii zapasowych oraz metody i procedury przywracania i odzyskiwania danych;
  • gromadzenie informacji na temat podatności oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków, oraz analizę ich prawdopodobnego wpływu na operacyjną odporność cyfrową; zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie;
  • zgłaszanie poważnych incydentów związanych z ICT i dobrowolne powiadamianie o znaczących cyberzagrożeniach;
  • testowanie operacyjnej odporności cyfrowej.

Bardzo istotnym elementem wymagań DORA jest weryfikacja dostawców usług ICT, którzy winni są stosować najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji. Rozporządzenie nakłada też na podmioty finansowe szczegółowe wymagania co do zawieranych uwag z dostawcami ICT, w tym:

  • jasny i kompletny opis wszystkich funkcji i usług ICT; miejsca, czyli regiony lub kraje, w których mają być świadczone funkcje i usługi ICT;
  • postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych;
  • postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu w łatwo dostępnym formacie danych osobowych i nieosobowych; opisy gwarantowanych poziomów usług,
  • bez dodatkowych opłat wsparcie przy obsłudze incydentu;
  • nieograniczone prawa dostępu, kontroli i audytu przez podmiot finansowy;
  • wdrażania i testowania planów awaryjnych oraz posiadania środków, narzędzi i polityk w zakresie bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług.

KARY przewidziane w Dyrektywie:

 

Kary administracyjne nakładane na podmioty finansowe i określone przez państwa członkowskie
1 % średniego dziennego światowego obrotu zewnętrznego dostawcy usług ICT w poprzedzającym roku obrotowym

Nasza oferta

Rozwiązania Security Operations Center


SOC as
a Service – zdalne monitorowanie


CISO as
a Service – zapewnienie specjalistów


Zgodność ze standardem IEC 62443


Zgodność
z dyrektywą NIS2, DORA, CER