Dyrektywa NIS2 zapewnia ochronę danych gospodarczych – mających wpływ na przedsiębiorstwa i gospodarki krajów członkowskich UE. Zgodnie z nowymi regulacjami, państwa członkowskie są zobowiązane wdrożyć m.in. krajową strategię cyberbezpieczeństwa i prawo krajowe – w temacie zarządzania ryzykiem i sprawozdawczości przedsiębiorstw objętych dyrektywą NIS2. Ponadto wprowadzona dyrektywa wymusza utworzenie jednego krajowego punktu kontaktowego do obsługi NIS2.

Czytaj także na Prawo.pl:  Zmiany w prawie komunikacji elektronicznej zagrożeniem dla prywatności i cyberbezpieczeństwa >

Czytaj więcej w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >>>

21 miesięcy na transkrypcję nowych przepisów

Dyrektywę NIS2 przyjęto i oficjalnie ogłoszono z końcem grudnia 2022 roku. Państwa członkowskie UE mają teraz 21 miesięcy na transkrypcję nowych przepisów do prawa krajowego. Organizacje, których dotyczy przyjęta dyrektywa, muszą się do niej dostosować w czasie 18 miesięcy – w przeciwnym razie grozi kara grzywny oscylująca do 10 milionów euro lub 2 proc. całkowitego rocznego światowego obrotu firmy.

Co zmienia dyrektywa

Głównym założeniem wprowadzonej dyrektywy jest ułatwić zarządzanie ryzykiem – wprowadzone zostają dwie kategorie podmiotów: kluczowe i ważne. Objęte będą szczególnymi środkami nadzoru, a także egzekwowania przepisów, stworzonymi w oparciu o cztery założenia, mowa tutaj o: skuteczności, proporcjonalności, odstraszeniu oraz dostosowaniu do indywidualnego przypadku.

Czytaj też: Zakres przedmiotowy zastosowania ustawy o cyberbezpieczeństwie w sektorze ochrony zdrowia >>>

Dyrektywa rozszerza ponadto definicje sektorów i rodzajów podmiotów krytycznych objętych regulacjami na polu cyberbezpieczeństwa. Obejmuje: energetykę, transport, ochronę zdrowia, bankowość, infrastrukturę rynku finansowego, wodociągi, spółki wodno- kanalizacyjne, infrastrukturę cyfrową, administrację publiczną, przestrzeń kosmiczną oraz produkcję żywności. Firmy będą zobowiązane regularnie przedstawiać dowody na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, przeprowadzania audytów bezpieczeństwa, powiadamiania władz o nieprawidłowościach, a także podejmowania działań w celu niedopuszczenia do zagrożeń.

Czytaj też: Jak zarządzać ryzykiem prawnym w placówce medycznej? >>>

Szpital ofiarą cyberterroryzmu

W ostatnich latach pojawiło się wiele zagrożeń dla bezpieczeństwa zbiorowego. W zeszłym roku tygodniowa liczba cyberataków wzrosła na całym świecie o 38 proc. (w porównaniu do 2021 roku). Działania są coraz częściej porównywane do aktów terroryzmu. W opinii ekspertów ataki na cele infrastruktury krytycznej, to już część rzeczywistości. Należy zrobić wszystko, by odeprzeć niebezpieczeństwo. Reguły prawne, jakie obowiązywały do tej pory, ukazały swoją ułomność wobec nowych niebezpieczeństw. Wprowadzona dyrektywa NIS2 ma pomóc zabezpieczyć UE w tym temacie. Państwa Unii mają ze sobą ściślej współpracować w ramach zwalczania cyberprzestępczości. Utworzona Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE) będzie zajmowała się wsparciem koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.

Wśród szczególnie narażonych na cyberatak podmiotów są szpitale. Poziom bezpieczeństwa polskich placówek medycznych rośnie, ale daleko jeszcze do pełnego sukcesu. Od początku trwania pandemii COVID-19 w 13 proc. placówek ochrony zdrowia miał miejsce cyberatak – chodzi m.in. o pishing i włamania na konta personelu.