Bezpieczeństwo IT - metody ochrony, Cyberbezpieczeństwo Polski, Główna

NIS2 – zasady raportowania i kary prawno-finansowe

Czas czytania: 3 min

Dyrektywa NIS2 nakłada na przedsiębiorców szereg nowych obowiązków łącznie z raportowaniem incydentów, a nieprzestrzeganie przepisów wiąże się z sankcjami w postaci kar finansowych i prawnych. Przyjrzymy się bliższej każdemu z tych obszarów.

Dla przypomnienia zapraszamy też do poprzednich artykułów z serii o nowelizacji dyrektywy: NIS2 – terminy, podmioty i obowiązki Jak wdrożyć NIS2?

Raportowanie incydentów – nowe przepisy dyrektywy NIS2

Zacznijmy od nowych wymogów co do raportowania. Jest to proces składający się z kilku etapów, który zobowiązuje podmiot kluczowy lub ważny dotknięty incydentem do zgłaszania oraz przekazywania określonych informacji na różnych stadiach tego zdarzenia. Organizacje zobowiązano do szybkiego raportowania incydentów do odpowiednich krajowych organów nadzorczych, aby lepiej zrozumieć zagrożenia i wspierać międzynarodową współpracę w walce z cyberprzestępczością.

Pierwsze kroki po wykryciu poważnego incydentu

W pierwszej kolejności w przypadku zidentyfikowania wystąpienia poważnego incydentu należy przekazać odpowiedniemu CSIRT (ang. Computer Security Incident Response Team) lub właściwemu organowi wczesnego ostrzeżenia informacje o wystąpieniu poważnego incydentu. W Polsce przykładami takich organizacji są CSIRT NASK, CSIRT GOV oraz CSIRT MON.

Zgłoszenie musi wpłynąć w ciągu 24 godzin od wykrycia naruszenia. Taki czas reakcji ma na celu umożliwienie wskazanym organom podjęcie natychmiastowych działań w celu minimalizacji szkód.

Wstępne zgłoszenie zawiera podstawowe informacje na temat incydentu, takie jak:

  • określenie czy incydent został spowodowany przez działania bezprawne, złośliwe lub niedbałe,
  • wstępna ocena potencjalnych skutków dla dostarczania usług cyfrowych lub ochrony danych osobowych.

Pogłębiona analiza zdarzenia

W ciągu kolejnych 48 godzin podmiot zgłaszający jest zobowiązany do dostarczenia bardziej szczegółowych informacji na temat incydentu. Obejmują pogłębioną analizę zdarzenia, aby zidentyfikować jego przyczyny, zakres, poziom wpływu i potencjalne konsekwencje. Jeśli są dostępne informacje o kompromitacji infrastruktury, także należy je dodać.

Złożenie sprawozdania końcowego

Sprawozdanie końcowe ma na celu dostarczenie wyczerpujących informacji na temat incydentu. Służy do przeprowadzenia analizy zdarzenia i wyciągnięcia wniosków na przyszłość, aby do podobnego incydentu już nie doszło. Raport końcowy trzeba sporządzić nie później niż miesiąc po zgłoszeniu incydentu, a powinien zawierać:

  • szczegółowy opis zdarzenia, a w tym określenie jego poziom wpływu na organizację
  • rodzaj zagrożenia lub główną przyczynę, która prawdopodobnie wywołała incydent,
  • zastosowane środki zaradcze,
  • w stosownych przypadkach, transgraniczny wpływ incydentu.

Organizacje są zobowiązane do złożenia sprawozdania końcowego nie później niż miesiąc po zgłoszeniu incydentu. Natomiast, jeśli w tym czasie sytuacji nie rozwiązano i wciąż odczuwalne są jej skutki, podmioty kluczowe i ważne muszą złożyć sprawozdanie z postępu prac. Następnie po całkowitym obsłużeniu i zamknięciu incydentu przysługuje im miesiąc na złożenie sprawozdania końcowego.

Co więcej, CSIRT lub właściwy organ może nakazać podmiotowi kluczowemu lub ważnemu sporządzenie i złożenie raportu okresowego w każdym czasie.

Konsekwencje niezastosowania się do dyrektywy NIS2

Za niestosowanie się do przepisów, NIS2 przewiduje sankcje prawne i finansowe. Czynności administracyjne obejmują nakazy zgodności i wdrożenia zaleceń z audytu bezpieczeństwa oraz konieczność powiadamiania klientów podmiotu o potencjalnych zagrożeniach. Co więcej, w przypadku kar finansowych nie przewidziano jednolitych kwot dla podmiotów kluczowych i ważnych.

W przypadków podmiotów kluczowych za nieprzestrzeganie zasad dyrektywy kara to co najmniej 10 000 000 EUR lub 2% całkowitego globalnego rocznego obrotu z poprzedniego roku.

Z kolei dla podmiotów ważnych przewidziano grzywnę na poziomie co najmniej 7 000 000 EUR lub co najmniej 1,4% całkowitego globalnego obrotu z poprzedniego roku.

Jednak, podczas wykonywania czynności egzekucyjnych właściwe organy powinny brać pod uwagę okoliczności wystąpienia incydentu takie jak natura, waga i czas trwania naruszenia. Należy też przeanalizować wyrządzone szkody lub poniesione straty oraz celowy lub niedbały charakter naruszenia.





Dodaj komentarz