Mentionsy
Sii Talks
Sii Talks
10.04.2025 11:10

Nowa dyrektywa NIS 2: Zmiany dla instytucji publicznych | #SiiTalks

W tym odcinku #SiiTalks przyglądamy się bliżej nowym przepisom unijnym, które zmieniają podejście do cyberbezpieczeństwa — zwłaszcza w sektorze publicznym. 


Nasi eksperci, Marta Przeor, Head of Public Sector w Sii Polska, oraz Dawid Jankowski, Dyrektor Centrum Kompetencyjnego Cybersecurity w Sii Polska, wyjaśniają kluczowe założenia dyrektywy NIS 2: kogo dotyczy, jakie obowiązki wprowadza i jak zmieni się odpowiedzialność za jej wdrożenie.  


Z odcinka dowiesz się: 
✅ Czym NIS 2 różni się od poprzedniej dyrektywy
✅ Na co muszą przygotować się instytucje publiczne
✅ Dlaczego nowa dyrektywa zakłada także odpowiedzialność osobistą


Dowiedz się, jak Sii Polska wspiera sektor publiczny 
🔗  https://sii.pl/sektor/public/ 


NIS OT GAP Sii SiiTalks Krajowym Systemie Cyberbezpieczeństwa Security Awareness Sii Talks UKSC Centrum Kompetencyjnym Sejmie Unia Europejska Copilot unijnych Dawidem Jankowskim

Rozdziały (13)

1. Wprowadzenie i przedstawienie eksperta

Marta Przeor przedstawia się i przedstawia eksperta Dawida Jankowskiego, pracującego w Sii od 16 lat, kierującego Centrum Kompetencyjnym Cyber Security.

2. Zmiany w NIS 2

Rozmowa o NIS 2, nowych regulacjach unijnych z zakresu cyberbezpieczeństwa, które rozszerzają ilość sektorów i organizacji podległych regulacji.

3. Analiza i wdrożenie NIS 2

Dawid wyjaśnia, jak powinni się przygotować firmy do wdrożenia NIS 2, podkreślając, że powinno zacząć od analizy obecnego stanu i porównania go z wymogami regulacji.

4. Kary za niezgodność

Rozmowa o konsekwencjach dla firm, które nie dostosują się do wymogów NIS 2, w tym wysokie kary finansowe i karne personalne.

5. Zabezpieczenie instytucji publicznych

Dawid omawia, jak NIS 2 wpływa na instytucje publiczne, wskazując na konsekwencje w przypadku niezgodności.

6. Systemy energetyczne i NIS 2

Rozmowa o zabezpieczeniu systemów energetycznych i skrócie terminu NIS 2 do 2025 roku.

7. OT - Operacyjna Technologia

Dawid wyjaśnia pojęcie OT (Operacyjna Technologia) i wyzwania związane z zabezpieczeniem tych systemów.

8. Zabezpieczenie środowisk OT

Rozmowa o możliwościach zabezpieczenia środowisk OT bez konieczności wymiany całych linii produkcyjnych.

9. Przydatność dyrektywy NIS 2

Dawid ocenia przydatność dyrektywy NIS 2, podkreślając jej zasługi w zwiększeniu świadomości i zabezpieczeniu organizacji.

10. Inwestycje w bezpieczeństwo

Rozmowa o priorytetach inwestycji w bezpieczeństwo dla firm, wskazując na analizę GAP i zewnętrzne dostawców.

11. Zgodność z ustawą

Dawid wyjaśnia, dlaczego zgodność z ustawą jest łatwiejsza do osiągnięcia poprzez zewnętrzne dostawców.

12. Nowe zagrożenia i NIS 2

Rozmowa o tym, jak NIS 2 jest elastyczna i dostosowana do nowych zagrożeń, takich jak sztuczna inteligencja.

13. Zakres i interpretacja dyrektywy

Dawid podkreśla, że NIS 2 powinna być traktowana jako zbiór dobrych praktyk i drogowskaz do kompleksowego zabezpieczenia organizacji.

Szukaj w treści odcinka

Wyczyść
Znaleziono 28 wyników dla "OT"

No wyobraźmy sobie, jeżeli taki prezes wie, że personalnie dotknąć go może kara za niespełnienie wymogu, będzie żywo zainteresowany wdrożeniem danej regulacji.

W Europie obowiązuje już NIS 1, w Polsce jako ustawa o Krajowym Systemie Cyberbezpieczeństwa i dotyczy ona firm będących operatorami usług kluczowych dla bezpieczeństwa państwa.

Jak powinniśmy się przygotować?

Zacznijmy od tego, jak nie powinny firmy się przygotować, czyli firmy nie powinny zaczynać od wyboru jakiegoś technicznego rozwiązania.

Efekt jest taki, że potem musi dostosowywać procesy do danej aplikacji.

Jak również w rezultacie będziemy mieli listę rzeczy, które musimy zrobić, więc mamy bardzo dobrze przygotowany plan projektu wdrożenia regulacji.

Od czego zacząć przygotowanie do wdrożenia?

Przede wszystkim wdrożenie NIS 2 dotyczy całego obszaru bezpieczeństwa w organizacji.

Wymogi są tak szerokie, że dotyczą całości.

Po tym, jak poprawnie zdefiniujemy proces, który uwzględnia warunki danej organizacji, uwzględnia dobre praktyki, na przykład List Cyber Security Framework lub ISO 27001, firma ma podstawę, gdzie potem definiuje sobie narzędzia dla danego procesu i ma zapewnione bezpieczeństwo organizacji.

Potem mamy jakieś wakacje o legis, więc pewnie trzeci kwartał, tak szacuję, to będzie termin obowiązywania.

Jeżeli jest to firma kluczowa, no to kara to jest 10 milionów euro lub 2% globalnego rocznego obrotu dla organizacji.

Natomiast jeżeli jest to firma z sektora ważnego, no to jest to 7 milionów i również 2% obrotu.

W zależności, która kwota jest większa, bo jest brana większa.

Natomiast teraz, jeżeli, no wyobraźmy sobie, jeżeli taki prezes wie, że personalnie dotknąć go może kara za niespełnienie wymogu, będzie żywo zainteresowany wdrożeniem danej regulacji, będzie to kontrolował i będzie gotowy

Na przykład CSIRT.gov, CSIRT.mon i te organizacje tak w uproszczeniu rozsyłają informacje o danym typu ataku do podobnych podmiotów, czyli na przykład jeżeli jedna elektrownia została zaatakowana, zostaną te informacje wysłane do innych elektrowni w ramach

Świat IT i świat OT.

Czy mógłbyś wyjaśnić ten skrót OT?

OT to jest Operational Technology, czyli można sobie wyobrazić, że to jest takie IT w fabryce.

I o ile my już mamy doświadczenie jako specjaliści w tym świecie IT, potrafimy zabezpieczać sieci komputerowe, potrafimy zabezpieczać komputery i wiemy,

Działamy w tym obszarze cyberbezpieczeństwa od kilku, kilkunastu lat, natomiast świat OT był do tej pory troszkę tak z tyłu i tak naprawdę organizacje bały się dotykać, bo było takie podejście, jak działa, to nie dotykajmy, bo może ktoś zrobi jakąś zmianę i nam fabryka przestanie działać, jakieś maszyny zostaną zablokowane.

W tym wypadku wdrożenie regulacji w tych obszarach OT stanowi dużo większe wyzwanie dla organizacji.

Czy w takim razie bezpieczeństwo OT to jest coś więcej?

De facto w OT jest też bardzo dużo oprogramowania i systemów.

W świecie OT natomiast taki zwykły skan najprawdopodobniej spowoduje, że połowa maszyn przestanie działać.

Są odpowiednie procesy, odpowiednie rozwiązania i narzędzia bezpieczeństwa, które są dedykowane właśnie do środowisk OT.

Każdy myśli sobie mnie nie dotyczy i zagrożeniem staje się dopiero jak zacznie mnie dotyczyć.

Przykładowo w momencie, kiedy była projektowana ta ustawa, nie mieliśmy jeszcze takiego boomu na sztuczną inteligencję, nie mieliśmy tych rozwiązań jak ChatGPT, jak Microsoft Copilot.

Ostatnie odcinki