Napisz do nas!
Cyrima

NIS2: Wytyczne dla administracji publicznej i samorządów

Dyrektywa NIS2 definiuje sektor administracji publicznej jako podmiot krytyczny. W związku z tym, nowe regulacje znacząco wpływają na jednostki samorządu terytorialnego. Aby zapewnić zgodność z dyrektywą, jednostki te muszą podjąć kilka istotnych kroków.
NIS2 wytyczne dla administracji publicznej i jednostek samorządu terytorialnego

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 rozszerza zakres wcześniejszej dyrektywy NIS. Przede wszystkim, obejmuje więcej sektorów i nakłada surowsze wymogi dotyczące zarządzania ryzykiem. Ponadto, nakłada również większe kary za nieprzestrzeganie przepisów, aby zapewnić lepszą ochronę przed zagrożeniami cybernetycznymi. Państwa członkowskie muszą wdrożyć ją do 17 października 2024 roku.

Kogo dotyczy NIS2?

Dyrektywa NIS2 obejmuje szeroki zakres sektorów, w tym administrację publiczną, która została uznana za podmiot krytyczny. Co więcej, jednostki samorządu terytorialnego są szczególnie narażone na cyberataki. Powodem tego jest między innymi ogromna ilość poufnych informacji, którymi zarządzają. Więcej informacji na temat podmiotów objętych dyrektywą znajdziesz w naszym poprzednim artykule na temat dyrektywy NIS2.

Jakie wymagania NIS2 stawia jednostkom samorządowym?

Wszystkie podmioty administracji publicznej są sklasyfikowane przez UE jako „Kluczowe podmioty”. Wśród nich znajdują się JST – Jednostki Samorządu Terytorialnego.

JST będą zobowiązane do podjęcia kilku kluczowych działań, takich jak:

  • Oceny aktualnego poziomu bezpieczeństwa,
  • Identyfikacji obszarów wymagających usprawnienia,
  • Opracowania planu działań w przypadku incydentów,
  • Wdrożenia odpowiednich środków technicznych.
Sprawdź, czy podlegasz pod NIS2

Cyberbezpieczeństwo gmin i powiatów

W dobie rosnących zagrożeń cybernetycznych bezpieczeństwo informacyjne staje się priorytetem. 

Projektujemy strategie bezpieczeństwa, które chronią Twoje dane. Przede wszystkim, przeprowadzamy analizę mającą na celu sprawdzenie zgodności z przepisami prawnymi i normami. Ponadto, wdrażamy systemy bezpieczeństwa na podstawie SIEM, IAM, DLP oraz IPS.

Wymagania NIS2 dla administracji publicznej

lista wymagań nis2 dla jednostek samorządu terytorialnego i administracji publicznej

Jednostki samorządu terytorialnego muszą spełniać szereg wymagań określonych przez dyrektywę NIS2. Przede wszystkim, pierwszym krokiem jest ocena, czy jesteśmy objęci dyrektywą NIS2.

Następnie, JST powinny wprowadzić środki minimalizujące ryzyko. W tym kontekście, obejmuje to ocenę zagrożeń oraz wdrożenie odpowiednich zabezpieczeń. Ważne jest także ciągłe monitorowanie stanu zabezpieczeń cybernetycznych.

Co więcej, jednostki samorządowe powinny posiadać procedury umożliwiające szybkie reagowanie na incydenty. NIS2 określa 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie incydentu.

Ponadto, JST i organizacje administracji publicznej są zobowiązane do regularnego szkolenia pracowników w zakresie cyberbezpieczeństwa.

Na koniec, ważne jest, aby jednostki gmin i powiatów miały plany awaryjne na wypadek incydentów cybernetycznych. Plany powinny obejmować procedury odzyskiwania danych oraz utrzymania ciągłości świadczenia usług.

Kary za brak wdrożenia NIS2

Naruszenie przepisów dyrektywy NIS2 może prowadzić do kar finansowych: 

  • Dla podmiotów krytycznych maksymalna kara wynosi 10 milionów euro lub 2% rocznego globalnego obrotu  
  • W przypadku podmiotów ważnych kara wynosi 7 milionów euro lub 1,4% rocznego globalnego obrotu 
  • Jednostka niespełniająca wymagań może być poddana obowiązkowym audytom bezpieczeństwa 
sankcje i kary za brak wdrożenia dyrektywy NIS2

Wyzwania dla jednostek samorządu terytorialnego

Jednostki administracji stoją przed wieloma wyzwaniami w kontekście wdrożenia dyrektywy NIS2. Przede wszystkim, wysoka odpowiedzialność oraz świadczenie kluczowych usług publicznych zwiększają ryzyko cyberataków na JST. Dodatkowo, jednostki te muszą chronić poufne dane i zapewnić ciągłość działania, co stanowi dodatkowe obciążenie.

Kluczowe wyzwania związane z cyberbezpieczeństwem dla sektora administracji publicznej to między innymi: 

  • Ryzyko przed atakami ransomware i phishingiem  
  • Złożoność systemów IT, które są trudne do zabezpieczenia i zarządzania  
  • Brak świadomości pracowników w zakresie cyberbezpieczeństwa. Szczególnie wśród podmiotów mniejszych gmin i powiatów 

SEDIVIO to zgodność z UKSC i NIS2

W SEDIVIO pomagamy organizacjom przejść przez cały proces wdrożenia wymagań wynikających z projektu ustawy o krajowym systemie cyberbezpieczeństwa – od kwalifikacji, przez audyt, aż po przygotowanie dokumentacji, procesów i zabezpieczeń technicznych.

Wspieramy nie tylko zgodność z przepisami, ale również realne podnoszenie poziomu cyberbezpieczeństwa. Korzystamy z narzędzi, które umożliwiają monitorowanie podatności, zarządzanie incydentami, weryfikację ryzyka i poprawę odporności operacyjnej na co dzień, dzięki czemu wdrożenie UKSC jest trwałe i praktyczne

Sprawdź, czy podlegasz pod UKSC (NIS2)

Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!


Napisz do nas!

Olga Budziszewska

GRC Advisory

olga.budziszewska@cyrima.com
Umów spotkanie