Zgłaszanie incydentów według NIS 2 – systemowa odpowiedzialność i procedury

Cyberataki, awarie systemów, wycieki danych to nie odległa przyszłość, ale codzienność wielu organizacji. Nowe unijne regulacje wymagają, by podmioty kluczowe i ważne nie tylko wiedziały, jak radzić sobie z incydentem, ale miały gotowy plan działania, zespoły reagowania i ścieżkę raportowania.

wspólnik w Kancelarii Krzysztof Rożko i Wspólnicy

prawnik, ekspert ds. cyberbezpieczeństwa w Kancelarii Krzysztof Rożko i Wspólnicy

Dane o poważnych incydentach związanych z bezpieczeństwem informacji trafiają coraz częściej na pierwsze strony gazet. Wycieki danych osobowych, utrudnienia w dostępie do kont bankowych, przerwy w działaniu usług cyfrowych, to tylko nieliczne przykłady incydentów, o których informacje trafiają do szerokiego grona odbiorców. W czasach wszechobecnej cyfryzacji i rosnących zagrożeń w cyberprzestrzeni pojęcie incydentu zyskało na znaczeniu nie tylko w kontekście samego bezpieczeństwa ICT (technologie informacyjno-komunikacyjne), lecz również w wymiarze prawnym i praktycznym, a zarządzanie ryzykiem wystąpienia incydentu stanowi coraz większe wyzwanie dla wzrastającej liczby podmiotów, które wykorzystują technologie informatyczne do świadczenia usług lub dostarczania produktów.

Dyrektywa (UE) 2022/2555 (NIS 2) przyjęta w celu ustanowienia środków mających na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczństwa w całej Unii, która nakłada wymogi w zakresie zarządzania odpornością cyfrową na tzw. podmioty kluczowe lub ważne, definiuje incydent jako zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych albo usług...