NIS 2 To aktualizacja wcześniejszej dyrektywy NIS Directive, która:
- rozszerza zakres podmiotów objętych regulacją
- zaostrza wymagania dotyczące bezpieczeństwa
- wprowadza wyższe kary za brak zgodności
Sektor telekomunikacyjny jest uznany za sektor krytyczny (essential entities), co oznacza najwyższy poziom wymagań. Obejmuje m.in.:
- operatorów telekomunikacyjnyc
- dostawców usług internetowych (ISP)
- operatorów sieci mobilnych i infrastruktury 5G
Zgodnie z art. 2 ust. 2 lit. a dyrektywy NIS2, przepisy obejmują dany podmiot niezależnie od jego wielkości, jeśli jest on:
* dostawcą publicznych sieci łączności elektronicznej,
* dostawcą ogólnodostępnych usług łączności elektronicznej.
Oznacza to, że nawet bardzo mały, lokalny dostawca internetu (ISP) lub operator telekomunikacyjny zatrudniający zaledwie kilka osób podlega pod NIS2.
Czy moja firma podlega NIS 2?
Wszyscy dostawcy publicznych sieci i usług telekomunikacyjnych zostają z góry przypisani w ramach NIS 2 do kategorii podmiotów kluczowych (essential entities). Jest to kategoria o najwyższych wymogach bezpieczeństwa, podlegająca nadzorowi ex ante (czyli organy państwowe mogą kontrolować firmę z urzędu, a nie tylko po wystąpieniu incydentu). Odpowiedź więc brzmi: tak.
Kto NIE podlega? (Wyjątki)
Przepisy NIS2 celują w usługi i sieci o charakterze publicznym. Firma telekomunikacyjna, informatyczna lub instalatorska może nie podlegać pod ten konkretny punkt dyrektywy, jeśli:
- Buduje i zarządza wyłącznie sieciami prywatnymi (np. wewnętrzna sieć LAN dla konkretnego biurowca, zamknięta sieć przemysłowa w fabryce), która nie jest podłączona do usług dla szerokiego grona odbiorców.
- Świadczy usługi wyłącznie na własne potrzeby lub w ramach zamkniętej grupy użytkowników, a nie jako ogólnodostępną usługę na rynku (np. sieć wewnętrzna Lasów Państwowych czy PKP – choć te podmioty i tak wpadają pod NIS2 z innych tytułów).
- Jest mikroprzedsiębiorstwem, które dostarcza jedynie usługi nienumerowane (tzw. usługi łączności interpersonalnej niewykorzystujące numerów, np. małe komunikatory internetowe) – to jeden z nielicznych „furtek” w przepisach, gdzie wielkość firmy może mieć znaczenie.
Koncepcja wdrożenia wymogów
Na czym polega wdrożenie NIS 2 ?
Audyt i analiza braków
Na początku trzeba sprawdzić, czego w firmie jeszcze brakuje. Raport braków + plan działań
Odpowiedzialność kierownictwa
Dyrektywa kładzie duży nacisk na odpowiedzialność kierownictwa. Kierownictwo ponosi odpowiedzialność za zgodność z NIS 2
System zarządzania bezpieczeństwem
Należy wdrożyć spójny system zarządzania bezpieczeństwem informacji. To trudne i złożone działanie.
Zarządzanie ryzykiem
To najważniejszy element w sektorze telekomunikacyjnym. Działania: ocena ryzyka (skutki × prawdopodobieństwo), dobór zabezpieczeń, stałe monitorowanie,
Monitorowanie bezpieczeństwa
Firma musi stale obserwować swoją infrastrukturę. Elementy: centrum monitorowania bezpieczeństwa, systemy wykrywania zagrożeń, całodobowa obserwacja, gotowe scenariusze reakcji.
Obsługa incydentów
Każdy incydent musi być odpowiednio obsłużony i ewentualnie zgłoszony. Proces: wykrycie zdarzenia, ocena jego znaczenia, zgłoszenie do odpowiednich instytucji (np. CSIRT NASK).
Bezpieczeństwo dostawców
Ocena ryzyka dostawców, wymagania bezpieczeństwa w umowach, kontrole i audyty dostawców
Zabezpieczenia techniczne
Podstawowe środki ochrony: silne uwierzytelnianie użytkowników, szyfrowanie danych, usuwanie podatności (aktualizacje), kopie zapasowe i plany odtworzenia działania
Testy i kontrole
Należy regularnie sprawdzać, czy system działa w praktyce.
Szkolenia
Regularne,szkolenia dla pracowników, dla kadry zarządzającej, ćwiczenia z rozpoznawania prób oszustw
Współpraca z instytucjami
W Polsce nadzór sprawują m.in.: Urząd Komunikacji Elektronicznej, zespoły reagowania na incydenty
Nieprzerwane doskonalenie
To proces, który nigdy się nie kończy: regularna ocena ryzyka, aktualizacja zasad, poprawa zabezpieczeń,analiza nowych zagrożeń
Zakres i model usługi
Jak wygląda usługa wsparcia w NIS 2 ?
Nasze usługi
Oferujemy unikalny model usługi
Ponieważ mamy 20-letnie doświadczenie w stałej obsłudze podmiotów z branży telekomunikacyjnej, świadczymy unikalne na rynku usługi outsourcingu w zakresie bezpieczeństwa.
- Określenie statusu podmiotu (kluczowy vs ważny).
- Analiza luki między obecnym stanem zabezpieczeń a wymogami ustawowymi.
- Inwentaryzacja krytycznych zasobów informacyjnych.
- Opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
- Stworzenie metodologii analizy ryzyka dostosowanej do specyfiki branży.
- Bezpieczeństwo łańcucha dostaw: Audyt kluczowych dostawców i aktualizacja umów o klauzule cyberbezpieczeństwa.
- Wdrożenie zaawansowanych mechanizmów kontroli dostępu (MFA, Zero Trust).
- Optymalizacja procesów backupu i opracowanie planów Disaster Recovery (DRP).
- Wprowadzenie standardów szyfrowania i zabezpieczenia komunikacji.
I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit.
- Szkolenia dla Zarządu: Odpowiedzialność prawna i zarządzanie kryzysowe.
- Program Awareness dla pracowników: Cykl szkoleń podnoszących czujność na zagrożenia socjotechniczne.
Korzyści dla organizacji
Realna ochrona przed atakami ransomware i wyciekiem danych.
Pełne dostosowanie do przepisów i brak ryzyka kar finansowych.
Wizerunek zaufanego i poważnego partnera biznesowego dla klientów i kontrahentów
Minimalizacja czasu przestojów dzięki procedurom awaryjnym.
Opis usługi w skrócie
Pytania dotyczące usługi
W regulacji wprowadzono mechanizm samoidentyfikacji – podmioty są obowiązane same zarejestrować się w nowym systemie – np. poprzez stronę internetową.
Na wdrożenie należy przeznaczyć ok. od 1 do 3 miesięcy w zależności od wielkości wdrożenia
Tak jest to możliwe. Nasza firma zajmuje się tym zagadnieniem kompleksowo.
Koszt usługi zależy od zakresu prac oraz od wielkości badanego podmiotu. Jeśli chciałbyś poznać cenę usługi po prostu do nas zadzwoń tel. +48 22 280 94 88 lub napisz na adres: biuro@zgodnosc.pl.
Na pewno wielkość Twojej firmy jak również zakres prac decyduje o ostatecznej cenie usługi. Zadzwoń do nas lub wyślij do nas wiadomość aby uzyskać szczegółową wycenę usługi.
Obok jednorazowego wdrożenia wymogów NIS 2 możliwa jest współpraca w oparciu o stała umowę (ryczałt) w zakresie przygotowanie niezbędnej dokumentacji, nadzoru nad wdrożeniem wymaganych zmian oraz bieżącego doradztwa oraz cyklicznych audytów w zakresie NIS 2.
Jak najbardziej. Chętnie wyjaśnimy niezrozumiałe kwestie lub pomożemy w innych problematycznych kwestiach. Staramy się także instruować naszych Klientów na każdym etapie realizacji usługi, także po jej wykonaniu.
Jednym zdaniem
Dlaczego właśnie my?
Jesteśmy zespołem specjalistów. Łączymy unikalną wiedzę prawniczą ze specjalistyczną znajomością zagadnień informatycznych. Naszym niewątpliwym atutem jest dogłębna znajomość środowiska biznesowego.
Jak realizujemy nasze projekty?
Pomagamy naszym nowym Klientom na każdym etapie usługi
Ponieważ nasi nowi Klienci nie mają specjalistycznej wiedzy staramy się na każdym etapie naszej współpracy pomagać im dobrze zrozumieć cel naszych działań. Poniżej opisujemy kilka typowych kroków realizowanych standardowo w przypadku nowego projektu:
Jak wygląda współpraca z Klientem?
Przez lata praktyki zrozumieliśmy, że właściwe postępowanie w relacjach z Klientami jest kluczem do sukcesu. Jeśli tym sukcesem będzie zadowolenie naszego Klienta na pewno będziemy stale rozwijać naszą firmę. Filozofia wydaje się prosta ale jednak jej realizacja nastręcza w praktyce wielu problemów. Czasami jest to pragnienie szybkiego i skutecznego osiągnięcia celu a czasami zwykłe niezrozumienie oczekiwań naszych partnerów biznesowych. Jeśli jednak będziemy współpracować na zasadzie poszanowania własnych praw i interesów zrealizujemy wspólne cele. Takie partnerskie podejście tylko w teorii jest codziennością. My jednak wzięliśmy te proste zasady na poważnie. Dzięki temu nieprzerwanie od kilkunastu lat rozwijamy naszą firmę.