Fabio Lauria

Dyrektywa NIS2: szansa czy przeszkoda dla włoskich firm?

16 maja 2025 r.
Przewodniki
Udostępnianie w mediach społecznościowych

Wprowadzenie: nowy paradygmat bezpieczeństwa IT

Dyrektywa NIS2, która weszła w życie 17 stycznia 2023 r. (16 października we Włoszech), stanowi głęboką zmianę w stosunku do poprzedniej dyrektywy NIS. Te ramy regulacyjne mają na celu stworzenie wspólnej strategii cybernetycznej dla wszystkich państw członkowskich UE, której głównym celem jest podniesienie poziomu bezpieczeństwa usług cyfrowych w całej UE

Sezon wdrażania europejskiej dyrektywy NIS2 oficjalnie się rozpoczął, co stanowi więcej niż znaczącą zmianę w podejściu do zarządzania bezpieczeństwem informacji.

Doceniając wysiłek komunikacyjny Narodowej Agencji Cyberbezpieczeństwa (NCA), która stawia aspekt procesu represyjnego i sankcyjnego na drugim miejscu w stosunku do promowania aktywnego uczestnictwa, oczywiste jest, że proces wdrażania celów dyrektywy nie może być rozwiązany jedynie poprzez formalne podporządkowanie się systemowi zarządzania bezpieczeństwem - co jest powszechnie określane jako "bezpieczeństwo na papierze" - ale zamiast tego wymaga znacznego wysiłku w celu zdefiniowania konkretnych i trwałych celów bezpieczeństwa.

Rozszerzenie obwodu: kto jest zaangażowany w NIS2?

Dyrektywa NIS2 stanowi znaczący krok w kierunku zwiększenia cyberbezpieczeństwa i odporności w całej Europie. Jeśli chodzi o regulacje i dyrektywy, wiele firm postrzega zgodność z nimi jako ostateczny cel: coś, czego muszą przestrzegać, spełniając minimalne wymagania. Powinno to być jednak postrzegane jako punkt wyjścia do osiągnięcia wyższego poziomu cyberbezpieczeństwa.

Dyrektywa NIS2 wynika z gruntownego przeglądu NIS i stanowi kolejny ważny krok w kierunku pełnego zdefiniowania europejskiej strategii cybernetycznej, zapewniając odpowiednie skoordynowane i innowacyjne reakcje państw członkowskich w celu zapewnienia ciągłości usług cyfrowych w przypadku incydentów bezpieczeństwa.

NIS2 znacznie rozszerza zakres zastosowania w porównaniu z poprzednią dyrektywą NIS, obejmując kluczowe sektory, takie jak gospodarka odpadami, transport, przemysł spożywczy, zaopatrzenie w wodę pitną i dystrybucja, infrastruktura cyfrowa, administracja publiczna, produkcja, badania i rozwój leków i wyrobów medycznych oraz sektor kosmiczny.

Dekret ustawodawczy 138/2024, który transponuje Dyrektywę NIS2 do włoskiego prawa, stanowi, że przepisy będą obowiązywać od 16 października 2024 r.

Rozporządzenie nie będzie miało zastosowania do małych firm , chyba że dany podmiot zostanie zidentyfikowany jako "krytyczny" w rozumieniu dyrektywy RCE, dostawca publicznych sieci łączności elektronicznej, dostawca usług zaufania lub należy do innych określonych kategorii uznanych za istotne.

NIS2 ma również zastosowanie do przedsiębiorstw zatrudniających mniej niż 50 pracowników, jeśli świadczą one podstawowe usługi w państwie członkowskim, jeśli ich usługi mają kluczowe znaczenie dla bezpieczeństwa publicznego, ochrony lub zdrowia, lub jeśli są częścią łańcucha dostaw kluczowego lub ważnego przedsiębiorstwa.

Główne kwestie krytyczne dla przedsiębiorstw

1. Złożoność modelu warstwowego i problemy z klasyfikacją

Ta złożoność operacyjna znajduje odzwierciedlenie w wyborze przez włoskiego ustawodawcę modelu "warstwowego". Pierwsza warstwa to warstwa standardowa, tj. obejmująca istotne lub ważne podmioty, które przekraczają limity wielkości dla małych przedsiębiorstw. Druga warstwa składa się z tych podmiotów, które, niezależnie od ich wielkości lub obrotów, należą do określonych kategorii.

Istotny problem dotyczy faktycznego pomiaru aspektu wielkości, ze względu na odniesienie do pojęcia "przedsiębiorstw powiązanych", co do którego w świecie biznesu nie zawsze istnieje absolutna jasność wizji.

Powiązanie między dwiema lub więcej spółkami jest teoretycznie niezależne od zamiaru utworzenia rzeczywistej sformalizowanej grupy, co skutkuje wykluczeniem z grupy małych i średnich przedsiębiorstw tych podmiotów, które nawet gdyby były rozpatrywane indywidualnie, nie osiągnęłyby limitów wielkości przewidzianych w przepisie.

2. Obciążenia ekonomiczne i organizacyjne

Kiedy przejdziemy od idealności procesu do konkretnego podejścia, kwestia jest raczej inna, ponieważ zderza się z wymiarem gospodarczym kraju, którego podstawowa struktura składa się z dużej liczby małych i średnich przedsiębiorstw. Stanowi to poważne wyzwanie przy wdrażaniu NIS2, który może być nadmiernie uciążliwy dla mniejszych realiów.

Stworzona w celu poprawy cyberbezpieczeństwa Unii Europejskiej, dyrektywa NIS2 przewiduje kary o charakterze czysto administracyjnym i karnym. Istotni operatorzy mogą podlegać grzywnom administracyjnym w wysokości do 10 milionów euro lub 2% całkowitego światowego obrotu. Z kolei główni operatorzy mogą podlegać grzywnom w wysokości do 7 milionów euro lub do 1,4% całkowitego światowego obrotu.

3. Odpowiedzialność za zarządzanie

Dekret legislacyjny wprowadza pewność: odpowiedzialność będzie spoczywać na organach zarządzających i kierowniczych. Organy zarządzające firm będą musiały odgrywać aktywną rolę w przestrzeganiu przepisów, będą musiały zatwierdzać wdrażanie środków zarządzania ryzykiem bezpieczeństwa, nadzorować wdrażanie obowiązków określonych w przepisach i będą ponosić odpowiedzialność za naruszenia.

4. Zgłaszanie incydentów i zarządzanie ryzykiem

Dekret transpozycyjny wzmacnia wymogi dotyczące zgłaszania incydentów, stanowiąc, że incydenty, które mają znaczący wpływ na świadczenie usług, muszą być zgłaszane do CSIRT Włochy bez zbędnej zwłoki. Proces powiadamiania przewiduje ścisłe ramy czasowe: wstępne powiadomienie w ciągu 24 godzin, powiadomienie w ciągu 72 godzin od zdarzenia i raport końcowy w ciągu miesiąca od zdarzenia.

Dyrektywa NIS2 określa szereg głównych wymogów, które organizacje muszą spełnić, aby zapewnić wysoki poziom cyberbezpieczeństwa. Wymogi te obejmują: analizę ryzyka i politykę bezpieczeństwa systemów informatycznych, strategie oceny skuteczności środków zarządzania ryzykiem oraz podstawowe praktyki higieny cyfrowej i szkolenia w zakresie cyberbezpieczeństwa.

5. Koncentracja na łańcuchu dostaw

Okazuje się, że przepisy transponujące dyrektywę NIS2 koncentrują się nie tylko na sektorach uznanych za wysoce krytyczne lub krytyczne, ale także, w sposób dalekowzroczny, na ich dostawcach, znacznie rozszerzając w ten sposób liczbę podmiotów, na które może mieć wpływ stosowanie dekretu ustawodawczego.

Dyrektywa NIS 2 przewiduje, że podmioty zobowiązane będą musiały podjąć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa systemów i sieci informatycznych, uwzględniając również bezpieczeństwo łańcucha dostaw, w tym aspekty bezpieczeństwa dotyczące relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.

Kluczowe terminy, których należy dotrzymać

W ten sposób rozpoczyna się wyścig o zgodność, który musi zostać zakończony do października 2026 roku. Do początku 2025 r. przedsiębiorstwa zidentyfikowane jako podmioty NIS2 muszą wdrożyć wszystkie zaplanowane środki, w tym systemy zarządzania bezpieczeństwem IT i obowiązki zarządcze. Do maja 2025 r. przedsiębiorstwa muszą zaktualizować swoje dane na platformie instytucjonalnej. W styczniu 2026 r. wchodzi w życie formalny obowiązek terminowego zgłaszania istotnych incydentów, a do września 2026 r. organizacje muszą wdrożyć wszystkie wymagane środki bezpieczeństwa.

Od 16 października 2024 r. obowiązuje nowe rozporządzenie w sprawie bezpieczeństwa sieci i informacji (NIS). ACN jest właściwym organem ds. bezpieczeństwa sieci i informacji oraz pojedynczym punktem kontaktowym. Od 1 grudnia 2024 r. do 28 lutego 2025 r. średnie i duże przedsiębiorstwa, w niektórych przypadkach również małe i mikroprzedsiębiorstwa, oraz organy administracji publicznej, do których mają zastosowanie nowe przepisy, muszą zarejestrować się na portalu usługowym ACN.

Podsumowanie: konieczna, ale wymagająca zmiana paradygmatu

Rosnące wzajemne powiązania i cyfryzacja społeczeństwa sprawiły, że instytucje, firmy i obywatele są coraz bardziej narażeni na cyberzagrożenia.

Najwyższe kierownictwo Narodowej Agencji Cyberbezpieczeństwa podjęło publiczne zobowiązanie do uczynienia tego procesu zrównoważonym, co może naprawdę stanowić punkt zwrotny dla zdolności kraju do radzenia sobie z rosnącymi zagrożeniami. Trzeba będzie poczekać i zobaczyć, jak produktywna i administracyjna tkanka kraju będzie w stanie zareagować na to, co jest dość oczywistym, głębokim kulturowym punktem zwrotnym, który, jak intuicyjnie wiadomo, nie będzie ani spacerem po parku, ani "neutralnym kosztowo".

Dostosowanie do NIS2 jest zatem nie tylko kwestią zgodności ze standardem, ale może być również dobrą okazją do wprowadzenia kultury bezpieczeństwa oraz najlepszych praktyk technicznych i organizacyjnych w firmie, co może znacznie podnieść poziom bezpieczeństwa IT. Ważne jest jednak, aby od razu zacząć przygotowywać plan adaptacji, aby stopniowo dostosowywać różne zasoby firmy i personel do odpowiednich okresowych cykli szkoleniowych.

Nawet jeśli nie jesteś jedną z firm zobowiązanych do przestrzegania dyrektywy NIS2, rozpoczęcie kursu uświadamiającego na temat zagrożeń cybernetycznych jest ważne dla ochrony przyszłości Twojej firmy.

NIS2 stanowi zatem złożone, ale konieczne wyzwanie dla włoskich firm. Chociaż nakłada nowe obowiązki i odpowiedzialność, które mogą wydawać się uciążliwe, oferuje również możliwość ponownego przemyślenia bezpieczeństwa IT jako elementu strategicznego, a nie tylko jako kosztu.

Fabio Lauria

CEO i założyciel | Electe

CEO Electe, pomagam MŚP podejmować decyzje oparte na danych. Piszę o sztucznej inteligencji w świecie biznesu.

Najpopularniejsze
Zarejestruj się, aby otrzymywać najnowsze wiadomości

Otrzymuj cotygodniowe wiadomości i spostrzeżenia na swoją skrzynkę odbiorczą
. Nie przegap!

Dziękujemy! Twoje zgłoszenie zostało odebrane!
Ups! Coś poszło nie tak podczas wysyłania formularza.
platforma
CenyFunkcjonalnośćStudia przypadkówIntegracje
firma
O nasKarieraFAQNewsletterSkontaktuj się z nami
ZASOBY
Portal klientaStatusWarunki świadczenia usługPolityka prywatnościPolityka dotycząca plików cookie
Electe S.r.l.
Via Montenapoleone 8, Mediolan (MI)
VAT IT12771670960
Copyright 2023 Electe © Wszelkie prawa zastrzeżone.
Wyprodukowano z ♥️