Audyt zgodności z NIS2 – obowiązki podmiotów kluczowych i ważnych

Audyt zgodności z NIS2 – obowiązki organizacji wynikające z KSC

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdraża unijną dyrektywę NIS 2. Przepisy te nakładają nowe obowiązki na organizacje zakwalifikowane jako podmioty kluczowe i podmioty ważne, w szczególności w zakresie zarządzania bezpieczeństwem informacji, ryzyka oraz łańcucha dostaw ICT.

Audyt zgodności z NIS2 służy ocenie spełnienia tych obowiązków oraz przygotowaniu organizacji na kontrole organów cyberbezpieczeństwa i ryzyko sankcji finansowych.

Podmioty kluczowe i ważne

• podmioty kluczowe
• podmioty ważne

NIS 2 wprowadza podział podmiotów objętych obowiązkami na:

Sektory objęte NIS2

• ścieki
• zarządzanie ICT
• przestrzeń kosmiczna
• poczta i usługi kurierskie
• produkcja i dystrybucja chemikaliów
• produkcja i dystrybucja żywności

Do sektorów objętych obowiązkami związanymi z cyberbezpieczeństwem należą m.in. infrastruktura cyfrowa, energia, transport, zdrowie, bankowość, infrastruktura rynków finansowych oraz zaopatrzenie w wodę. Dyrektywa dodaje również nowe sektory:

Dostawca wysokiego ryzyka

Rozszerzono kompetencje ministra właściwego ds. informatyzacji. Minister będzie mógł wskazać dostawcę wysokiego ryzyka na podstawie kryteriów technicznych i nietechnicznych po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego.

Sprzęt dostawcy wysokiego ryzyka będzie musiał zostać wycofany z systemów podmiotów kluczowych i ważnych w okresie od 4 do 7 lat.

Nowe obowiązki w cyberbezpieczeństwie

• wdrożenie systemu zarządzania bezpieczeństwem informacji
• zapewnienie bezpieczeństwa łańcucha dostaw ICT
• regularna analiza ryzyka cyberbezpieczeństwa

Podmioty kluczowe i ważne z sektorów objętych NIS2 będą miały nowe obowiązki, w tym:

Kary i sankcje

• podmioty kluczowe: do 10 mln euro
• podmioty ważne: do 7 mln euro
• kary dzienne za brak wykonania decyzji organu
• kary do 100 mln zł w przypadku poważnego zagrożenia

Audyt zgodności z NIS2 a ISO/IEC 27001

Audyt zgodności z NIS2 obejmuje weryfikację spełnienia obowiązków wynikających z nowelizacji KSC, w szczególności w obszarach systemu zarządzania bezpieczeństwem informacji, nadzoru nad łańcuchem dostaw ICT oraz cyklicznej oceny ryzyka incydentów. Dla organizacji pracujących w oparciu o ISO/IEC 27001 audyt NIS2 jest narzędziem do potwierdzenia zgodności z wymaganiami prawnymi w obszarze cyberbezpieczeństwa.

Potrzebujesz audytu zgodności z NIS2?

Jeżeli Twoja organizacja może zostać uznana za podmiot kluczowy lub podmiot ważny albo chcesz sprawdzić poziom zgodności z nowymi wymaganiami KSC i NIS2, skontaktuj się z nami w sprawie audytu, analizy ryzyka oraz SZBI.

Kontakt:

Telefon: 518 404 663