TIS2 – czy to na Ciebie wpłynie?
Jeśli Państwa działalność związana jest z zaspokajaniem potrzeb społecznych, z pewnością znajdują się Państwo na tej liście. Proszę zwrócić uwagę, że do listy podmiotów dyrektywy należą firmy, których roczny obrót wynosi ponad 10 mln EUR.
| Sektor | Klasyfikacja | Przykłady |
|---|---|---|
|
Sektor zdrowia
|
Nieodzowne
|
Placówki medyczne, szpitale laboratoria.
|
|
Infrastruktura cyfrowa
|
Nieodzowne
|
Dostawcy usług Internetu, Cloud
|
|
Transport
|
Nieodzowne
|
Kontrola ruchu powietrznego, kontrola ruchu wodnego, infrastruktura kolejowa
|
|
Energetyka
|
Nieodzowne
|
Dostawcy energii elektrycznej, gazu, rurociągu naftowego
|
|
Finanse
|
Nieodzowne
|
Banki, instytucje kredytowe, platformy inwestycyjne
|
|
Dostawcy usług cyfrowych
|
Ważne
|
Platformy e-commerce w Internecie, dostawcy usług Cloud
|
|
Administracja publiczna
|
Ważne
|
Usługi publiczne
|
|
Produkcja
|
Ważne
|
Leki, urządzenia medyczne
|
|
Kosmiczna przestrzeń
|
Ważne
|
Operatorzy satelitów
|
|
Jedzenie
|
Ważne
|
Łańcuchy dostaw żywności
|
|
Usługi pocztowe i dostawcze
|
Ważne
|
Usługi kurierskie
|
|
Odpady i zarządzanie odpadami
|
Ważne
|
Systemy oczyszczania wody, usługi zarządzania odpadami
|
|
Dostawcy publicznych usług komunikacji elektronicznej
|
Ważne
|
Platformy elektroniczne, usługi kolokacji
|
|
Produkcja krytycznych produktów
|
Ważne
|
Krytyczne surowce
|
Jak przygotować się / spełnić TIS2?
MDP CLOUD oferuje opracowane, zintegrowane i efektywne rozwiązania zgodności TIS2.
Najczęściej zadawane pytania dotyczące TIS2
Co to jest dyrektywa TIS2?
Dyrektywa TIS2 jest aktem prawnym UE mającym na celu poprawę bezpieczeństwa sieci i systemów informacyjnych w całej Unii Europejskiej.
Jakie są podstawowe wymagania TIS2?
Organizacje muszą wdrożyć środki bezpieczeństwa cybernetycznego, przeprowadzać zarządzanie ryzykiem, zapewnić zarządzanie incydentami i zgłaszanie incydentów, przeprowadzać regularne audyty bezpieczeństwa oraz przestrzegać surowych wymagań dotyczących bezpieczeństwa łańcucha dostaw.
Czym różni się TIS2 od TIS1?
W porównaniu z TIS1, nowa wersja dyrektywy znacznie rozszerza krąg przedsiębiorstw, które będą podlegać jej stosowaniu. Oprócz rozszerzenia krytycznych obszarów dodano również ważne obszary. Stosowanie dyrektywy w tych obszarach będzie polegać na tym, że organizacje należące do krytycznych sektorów będą musiały na bieżąco dostarczać dowody dotyczące swojego stanu bezpieczeństwa cybernetycznego, a organizacje ważne będą kontrolowane w przypadku wystąpienia incydentu.
Organizacje sektora krytycznego to te, które zatrudniają ponad 250 pracowników i mają roczne przychody przekraczające 50 milionów euro; organizacje ważne to te, które zatrudniają mniej niż 50 pracowników i mają roczne przychody do 10 milionów euro. Kryteria mogą się różnić w zależności od sektora. Organizacja może być uznana za krytyczną niezależnie od wielkości, jeśli jest jedynym dostawcą krytycznej usługi.
Ponadto część przedsiębiorstw będzie miała na to wpływ pośrednio, ponieważ będą one działać jako dostawcy usług tych przedsiębiorstw (strony trzecie), które również będą podlegać kontroli dotyczącej ich uwagi na bezpieczeństwo cybernetyczne.
Którym organizacjom stosuje się dyrektywę TIS2?
TIS2 ma zastosowanie do dostawców ważnych i istotnych usług w różnych sektorach, w tym energetyki, opieki zdrowotnej, transportu, finansów i innych krytycznych infrastruktur.
Co się stanie, jeśli nie spełnicie wymagań TIS2 po 18 października 2024 r.?
Nie podejmując odpowiednich środków bezpieczeństwa, nie wycofujecie się z zwiększonego ryzyka atak cybernetycznych. Takie ataki mogą zakłócić waszą działalność i/lub zaszkodzić reputacji firmy.
Ponadto, jeśli na czas nie zostaną wprowadzone niezbędne zmiany organizacyjne, grożą kary:
- Dla firm i organizacji w sektorze krytycznym kary mogą wynosić do 10 000 000 Eur lub 2% rocznych przychodów z ubiegłego roku (wybierana wyższa kwota pieniężna);
- Dla firm i organizacji w sektorze istotnym kary mogą wynosić do 7 000 000 Eur lub 1,4% rocznych przychodów z ubiegłego roku (wybierana wyższa kwota pieniężna).
Kiedy dyrektywa TIS2 wejdzie w życie?
Dyrektywa TIS2 została przyjęta w 2022 roku, a państwa członkowskie muszą wdrożyć ją w swoim prawodawstwie krajowym do końca 2024 roku.
Jak dyrektywa TIS2 wpływa na małe i średnie przedsiębiorstwa (MŚP)?
Chociaż NIS2 jest głównie skierowana do ważnych i kluczowych dostawców usług, niektóre MŚP, szczególnie te, które działają w infrastrukturze krytycznej lub mają duży wpływ na bezpieczeństwo cybernetyczne, również będą musiały przestrzegać wymagań dyrektywy.
Jak wymagania TIS2 zmieniają procedurę zgłaszania incydentów cybernetycznych?
Zgodnie z TIS2, organizacje są zobowiązane niezwłocznie zgłaszać wszelkie istotne incydenty cybernetyczne w określonym czasie (najczęściej w ciągu 24-72 godzin), w tym informacje o skali incydentu i potencjalnym wpływie.
Czy dyrektywa TIS2 dotyczy tylko organizacji UE?
Dyrektywa TIS2 ma zastosowanie do wszystkich organizacji, które świadczą usługi istotne w UE, niezależnie od tego, czy są zarejestrowane w UE, czy poza nią.
Jak TIS2 wpłynie na bezpieczeństwo łańcucha dostaw?
Dyrektywa TIS2 zobowiązuje organizacje do oceny i zarządzania ryzykiem w zakresie cyberbezpieczeństwa łańcucha dostaw, w tym do zapewnienia, że ich dostawcy przestrzegają podobnych standardów bezpieczeństwa.
Jak dyrektywa TIS2 jest związana z GDPR?
Nawet jeśli dyrektywy TIS2 i GDPR mają różne cele (TIS2 jest skierowana na bezpieczeństwo cybernetyczne, a GDPR – na ochronę danych), są one ściśle powiązane, ponieważ obie wymagają wysokiego poziomu ochrony i zgłaszania incydentów.
Co organizacje powinny zrobić, jeśli dojdzie do incydentu cybernetycznego?
Organizacje muszą niezwłocznie poinformować odpowiednie instytucje o incydencie, wdrożyć plan zarządzania incydentem i podjąć działania mające na celu ograniczenie skutków oraz zapobieżenie podobnym zdarzeniom w przyszłości.
Klienci
