Dyrektywa NIS2 a system ERP: Jak legalnie i bezpiecznie przetwarzać dane w Microsoft Business Central?

Dyrektywa NIS-2 nakłada na firmy rygorystyczne obowiązki w zakresie zarządzania ryzykiem i cyberbezpieczeństwa. Wiele średnich i dużych przedsiębiorstw nie zdaje sobie sprawy, że przepisy te bezpośrednio dotyczą bezpieczeństwa danych przetwarzanych w systemach ERP. Brak profesjonalnego backupu i planu odtwarzania po awarii (Disaster Recovery) dla systemu ERP to obecnie prosta droga do naruszenia wymogów NIS-2. Dyrektywa NIS2 jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa, mającym na celu ustanowienie wysokiego wspólnego poziomu cyberbezpieczeństwa w UE.

Zobacz, jak zabezpieczyć firmę korzystającą z Microsoft Dynamics 365 Business Central. Dyrektywa NIS2 weszła w życie w 2023 roku.

Czym jest dyrektywa NIS-2 i kogo dotyczy, w tym podmioty kluczowe?

Dyrektywa UE 2022/2555 (NIS-2) to unijne prawo regulujące kwestie cyberbezpieczeństwa, obowiązujące w państwach członkowskich (termin transpozycji krajowej upłynął w październiku 2024 roku). Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i podmioty ważne, które podlegają różnym poziomom nadzoru oraz egzekwowanym wymaganiom w zakresie cyberbezpieczeństwa. Różnice te dotyczą m.in. zakresu egzekwowania prawa przez organy regulacyjne, które mają uprawnienia do kontroli, nakładania sankcji oraz prowadzenia postępowań w przypadku naruszeń przepisów. Obejmuje także operatorów usług kluczowych oraz dostawców usług cyfrowych, nakładając na nich szczególne obowiązki związane z bezpieczeństwem cyfrowym. W porównaniu do swojej poprzedniczki (NIS-1), znacząco rozszerza zakres firm objętych regulacją oraz podnosi poziom kar za nieprzestrzeganie przepisów.

Nowe przepisy dotyczą średnich i dużych firm (powyżej 50 pracowników lub 10 mln EUR obrotu) operujących w 18 kluczowych sektorach, takich jak: energetyka, transport, produkcja żywności, produkcja maszyn, chemia czy gospodarka odpadami. Podmioty kluczowe to przede wszystkim duże firmy, ale w określonych przypadkach mogą to być także małe lub średnie przedsiębiorstwa. Podmioty ważne mają obowiązek rejestracji oraz wdrożenia odpowiednich środków bezpieczeństwa. NIS2 obejmuje również operatorów usług kluczowych i dostawców usług cyfrowych jako odrębne kategorie podmiotów objętych regulacją.

Sektory kluczowe to grupy sektorów gospodarki i infrastruktury, które są szczególnie istotne dla funkcjonowania państwa i społeczeństwa, podlegające bardziej rygorystycznym wymaganiom odnośnie do cyberbezpieczeństwa. Dyrektywa NIS2 dotyczy firm działających w sektorach o wysokim stopniu krytyczności. Sektory objęte dyrektywą to m.in.: energia, transport, woda, bankowość, infrastruktura rynku finansowego, opieka zdrowotna oraz infrastruktura cyfrowa. Sektory ważne obejmują branże o dużym znaczeniu dla gospodarki, ale o nieco niższym poziomie krytyczności.

NIS2 wprowadza obowiązki dotyczące cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Obejmują one wdrożenie odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, regularne szkolenia, audyty oraz obowiązek zgłaszania incydentów. Dla jednostek samorządowych audyty środowiska informatycznego są obowiązkowe w celu identyfikacji potencjalnych słabości i ryzyk, a w przypadku incydentów wymagane jest prowadzenie postępowań oraz zgłaszanie poważnych incydentów do odpowiednich organów regulacyjnych. Dyrektywa NIS2 wprowadza także bardziej rygorystyczne wymagania dotyczące oceny ryzyka, gotowości do reagowania na zagrożenia i minimalizowania ich skutków. Obowiązki związane z wdrożeniem NIS2 obejmują zarządzanie ryzykiem, wykrywanie incydentów, wdrażanie środków technicznych i organizacyjnych oraz raportowanie, aby zapewnić zgodność i bezpieczeństwo systemów informatycznych.

Od 18 października 2024 roku wszystkie kraje członkowskie Unii Europejskiej są zobowiązane do zmiany wewnętrznych przepisów w celu zapewnienia zgodności z dyrektywą NIS2. W Polsce zgodność z NIS2 ma zostać osiągnięta poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zostanie wprowadzona w pierwszym kwartale 2025 roku. Przepisy wdrażające dyrektywę NIS2 mają wejść w życie najpóźniej 18 października 2024 roku, jednak w Polsce wdrożenie może opóźnić się nawet o kilka miesięcy, co naraża firmy na ryzyko kar finansowych. Działania podejmowane w sprawie środków na poziomie unijnym i krajowym mają na celu zapewnienie wysokiego poziomu bezpieczeństwa systemów informatycznych. Wszystkie podmioty objęte zmienionymi regulacjami muszą dostosować się do wymogów do 18 października 2024 roku, a czasu na przygotowanie się do nowych wymagań jest relatywnie niewiele.

Kary za brak zgodności są dotkliwe: mogą sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy. Maksymalna kara, którą można nałożyć na podmiot ważny, wynosi 7 mln euro. Kary za nieprzestrzeganie przepisów NIS2 są wyższe w porównaniu do wcześniejszej dyrektywy NIS.

Wymogi NIS-2 w zakresie bezpieczeństwa sieci i systemów informatycznych

Dyrektywa nie jest jedynie zbiorem polityk na papierze. Wymaga od przedsiębiorstw wdrożenia konkretnych środków technicznych zapewniających ciągłość działania biznesu. Kluczowe wymogi techniczne obejmują:

• Zarządzanie ryzykiem i incydentami: Szybkie wykrywanie i raportowanie ataków, a także zwiększenie zdolności reagowania na incydenty cyberbezpieczeństwa.
• Zapewnienie ciągłości działania (Business Continuity): Utrzymanie operacyjności firmy nawet w przypadku ataku ransomware lub awarii infrastruktury.
• Zarządzanie kopiami zapasowymi (Backup): Regularne i bezpieczne tworzenie kopii krytycznych danych.
• Odtwarzanie po awarii (Disaster Recovery): Posiadanie przetestowanego planu przywrócenia systemów do życia po krytycznym błędzie.
• Bezpieczeństwo łańcucha dostaw: Weryfikacja poziomu zabezpieczeń u dostawców oprogramowania i usług IT.

Dyrektywa NIS2 nakłada obowiązek przeprowadzania regularnej oceny ryzyka oraz wdrażania środków zarządzania ryzykiem, w tym proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Proporcjonalne środki techniczne powinny być dostosowane do skali działalności przedsiębiorstwa oraz rodzaju zagrożeń, co pozwala na skuteczne zarządzanie ryzykiem cyberbezpieczeństwa i ochronę środowiska cyfrowego oraz fizycznego systemów. Celem zarządzania ryzykiem jest identyfikacja zagrożeń i minimalizacja skutków incydentów. Podmioty kluczowe i ważne muszą przeprowadzać regularne szkolenia dla osób zarządzających w zakresie zarządzania ryzykiem w cyberbezpieczeństwie.

Jednostki samorządowe są zobowiązane do prowadzenia audytów środowiska informatycznego oraz zgłaszania poważnych incydentów do odpowiednich organów regulacyjnych. Zgłaszanie incydentów odbywa się do właściwych organów, a prowadzenie postępowań i egzekwowanie prawa w tym zakresie jest obowiązkiem administracji publicznej.

Jak dyrektywa NIS-2 łączy się z Twoim systemem ERP?

System ERP, taki jak Microsoft Dynamics 365 Business Central, to cyfrowe serce Twojej firmy. Przechowuje dane finansowe, informacje o łańcuchu dostaw, stanach magazynowych i danych klientów. Z punktu widzenia ustawodawcy, są to dane krytyczne dla ciągłości działania.

Dyrektywa NIS2 nakłada obowiązki związane z wdrażaniem środków na rzecz wysokiego poziomu cyberbezpieczeństwa w swojej organizacji, zarówno w sektorze prywatnym, jak i publicznym. Działania te mają na celu zwiększenie bezpieczeństwa publicznego oraz odporności i zdolności reagowania na incydenty podmiotów publicznych i prywatnych. Zakresu cyberbezpieczeństwa nie ogranicza się jedynie do ochrony danych – obejmuje także zapewnienie ciągłości działania i zgodności z wymogami prawnymi.

Jeśli Twój system ERP ulegnie awarii, a Ty nie posiadasz sprawnego backupu, Twoja firma staje. W świetle dyrektywy NIS-2:

• Brak backupu systemu ERP = bezpośrednie naruszenie NIS-2.
• Brak planu Disaster Recovery dla ERP = naruszenie NIS-2.

Wdrożenie systemu ERP bez jednoczesnego zadbania o architekturę bezpieczeństwa danych wystawia firmę na ogromne ryzyko operacyjne i prawne.

Zarządzanie ryzykiem w kontekście NIS-2 i systemów ERP

W dobie rosnących zagrożeń cyfrowych zarządzanie ryzykiem w zakresie cyberbezpieczeństwa staje się jednym z kluczowych obowiązków dla podmiotów kluczowych i ważnych, zwłaszcza w sektorach krytycznych. Dyrektywa NIS-2 wyraźnie wskazuje, że każda organizacja korzystająca z systemów ERP – takich jak Microsoft Business Central – musi wdrożyć skuteczne środki zarządzania ryzykiem, aby zapewnić bezpieczeństwo sieci i systemów informatycznych.

Podmioty kluczowe i ważne są zobowiązane do stosowania proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, które odpowiadają specyfice ich działalności oraz poziomowi zagrożeń w zakresie bezpieczeństwa. Celem zarządzania ryzykiem jest nie tylko ochrona danych, ale także zapewnienie ciągłości działania i minimalizacja skutków ewentualnych incydentów w sieci i systemach informatycznych.

W praktyce oznacza to konieczność wdrożenia takich rozwiązań jak uwierzytelnianie wieloskładnikowe, szyfrowanie danych, stosowanie bezpiecznych połączeń oraz regularne szkolenia personelu. Właściwe organy państw członkowskich muszą zapewnić, że podmioty kluczowe i ważne nie tylko wdrażają, ale także stale monitorują i doskonalą środki zarządzania ryzykiem. Dzięki temu możliwe jest szybkie wykrywanie i reagowanie na potencjalne zagrożenia, co ma kluczowe znaczenie dla bezpieczeństwa sieci i systemów informatycznych.

W sektorze publicznym dyrektywa NIS-2 kładzie szczególny nacisk na zwiększenie odporności na cyberataki oraz zapewnienie ciągłości świadczenia usług cyfrowych. Regularne szkolenia, nadzór nad wdrażaniem środków ochronnych oraz bieżąca analiza ryzyka to podstawowe elementy skutecznej polityki bezpieczeństwa w tym obszarze.

Wdrożenie dyrektywy NIS-2 w Polsce, podobnie jak w całej Unii Europejskiej, wiąże się z koniecznością ujednolicenia standardów i procedur w zakresie cyberbezpieczeństwa. Nowa ustawa ma zapewnić spójność przepisów oraz skuteczne egzekwowanie wymagań dotyczących ochrony danych i reagowania na incydenty.

Dla organizacji korzystających z systemów ERP oznacza to konieczność dostosowania swoich rozwiązań do nowych wymagań prawnych. Wdrożenie odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem staje się nie tylko wymogiem prawnym, ale także fundamentem bezpieczeństwa i stabilności działania firmy. Tylko kompleksowe podejście do zarządzania ryzykiem pozwala skutecznie chronić sieci i systemy informatyczne oraz zapewnić zgodność z dyrektywą NIS-2.

Checklista dla firm: Co musisz zrobić, korzystając z Business Central?

Organy zarządzające w firmie są odpowiedzialne za zatwierdzanie i nadzorowanie wdrażania środków zarządzania ryzykiem zgodnie z dyrektywą NIS2. To właśnie te organy powinny zapewnić, że wszystkie wymagane procedury i środki bezpieczeństwa są skutecznie wdrażane i regularnie monitorowane.

Jako eksperci Inlogica nie tylko wdrażamy systemy ERP, ale dbamy o to, aby środowisko, w którym pracują, spełniało najwyższe normy bezpieczeństwa. Aby Twój system Business Central był zgodny z NIS-2, musisz zrealizować 4 kroki:

1. Wdrożyć backup w modelu 3-2-1:

• 3 kopie zapasowe Twoich danych.
• 2 różne nośniki fizyczne/środowiska.
• 1 kopia przechowywana całkowicie poza siedzibą firmy (off-site).

2. Opracować plan Disaster Recovery (DR): Musisz posiadać udokumentowaną i wdrożoną procedurę określającą, jak szybko system ERP zostanie przywrócony do działania po krytycznej awarii.
3. Dokumentować politykę bezpieczeństwa: Posiadać sformalizowane zasady zarządzania dostępem i bezpieczeństwem danych w systemie ERP.
4. Regularnie testować procedury odtwarzania: Backup, którego nie da się przywrócić w zakładanym czasie, jest bezwartościowy. NIS-2 wymaga cyklicznego weryfikowania planów DR.

Jak ekosystem chmury Azure pomaga spełnić wymogi NIS-2?

Decydując się na Microsoft Dynamics 365 Business Central we współpracy z Inlogica, zyskujesz możliwość wykorzystania natywnych narzędzi chmury Microsoft Azure, które automatycznie rozwiązują wiele problemów regulacyjnych. Warto podkreślić, że zarówno Microsoft Azure, jak i systemy ERP należą do sektora infrastruktury cyfrowej, który jest objęty szczególnymi wymaganiami dyrektywy NIS2 dotyczącymi cyberbezpieczeństwa i odpowiedzialności za świadczenie kluczowych usług cyfrowych:

• Azure Backup: Idealnie wypełnia wymóg posiadania kopii off-site (poza siedzibą firmy). Zapewnia szyfrowane, zautomatyzowane kopie zapasowe bazy danych ERP odporne na ataki ransomware.
• Azure Site Recovery (ASR): Potężne narzędzie do realizacji planu Disaster Recovery. Pozwala na błyskawiczne przełączenie środowiska ERP na zapasową infrastrukturę w chmurze w przypadku awarii głównego serwera.
• Microsoft Trust Center: Środowisko Azure posiada dziesiątki certyfikatów zgodności (compliance), co ułatwia audyty i udowadnianie przed regulatorami, że korzystasz z bezpiecznego łańcucha dostaw oprogramowania.

Korzyści z wdrożenia dyrektywy NIS-2

Wprowadzenie postanowień dyrektywy NIS-2 to nie tylko spełnienie wymogów prawa krajowego, ale przede wszystkim realna szansa na podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w Twojej organizacji. Dla podmiotów kluczowych i ważnych, a także dla podmiotów publicznych, wdrożenie tych regulacji oznacza szereg wymiernych korzyści w zakresie cyberbezpieczeństwa.

Przede wszystkim, dyrektywa NIS-2 wymusza wdrożenie spójnych standardów i procedur w zakresie zarządzania ryzykiem, w tym regularną ocenę ryzyka. Regularna ocena ryzyka jest jednym z kluczowych elementów skutecznego wdrożenia dyrektywy NIS2, ponieważ pozwala na identyfikację zagrożeń, ocenę ich wpływu oraz wdrażanie odpowiednich środków zapobiegawczych. Dzięki temu organizacje są lepiej przygotowane na potencjalne zagrożenia i poważne incydenty, a skutki ewentualnych ataków mogą być szybko minimalizowane. Wspólne podejście do bezpieczeństwa sieci i systemów informatycznych ułatwia także współpracę z innymi podmiotami w obszarze cyberbezpieczeństwa – zarówno na poziomie krajowym, jak i w ramach całej Unii Europejskiej.

Dla państw członkowskich wdrożenie dyrektywy NIS-2 oznacza wzmocnienie krajowego systemu cyberbezpieczeństwa oraz usprawnienie wymiany informacji i doświadczeń w zakresie cyberzagrożeń. Dzięki temu państwa członkowskie UE mogą skuteczniej reagować na nowe wyzwania i wspólnie budować wysokiego wspólnego poziomu ochrony danych i systemów informatycznych.

W praktyce, wdrożenie dyrektywy NIS-2 wymaga od organizacji regularnej oceny ryzyka, identyfikacji potencjalnych zagrożeń oraz wdrożenia odpowiednich środków technicznych, operacyjnych i organizacyjnych. Kluczowe jest także powołanie zespołu ds. cyberbezpieczeństwa oraz prowadzenie regularnych szkoleń i ćwiczeń, które podnoszą świadomość pracowników w zakresie cyberhigieny i reagowania na incydenty.

Podsumowując, dyrektywa NIS-2 to nie tylko obowiązek, ale przede wszystkim inwestycja w bezpieczeństwo, zaufanie klientów i stabilność działania – zarówno w sektorze publicznym, jak i prywatnym. Wspólne standardy i skuteczna wymiana informacji w zakresie cyberbezpieczeństwa to fundament nowoczesnej, odpornej na zagrożenia cyfrowe organizacji.

Najczęściej zadawane pytania (FAQ)

Czy małe firmy korzystające z ERP też podlegają pod NIS-2? Z reguły dyrektywa dotyczy firm zatrudniających powyżej 50 pracowników. Jednak jeśli jesteś kluczowym dostawcą dla dużego podmiotu podlegającego pod NIS-2, wymusi on na Tobie zgodność z dyrektywą w ramach zabezpieczania swojego “łańcucha dostaw”.

Czym różni się standardowy backup od Disaster Recovery? Backup to kopia samych danych. Disaster Recovery to kompleksowy plan i infrastruktura (np. zapasowe serwery w Azure), które pozwalają na błyskawiczne uruchomienie systemu ERP wraz z danymi po awarii. NIS-2 wymaga obu tych elementów.

Czy sam hosting Business Central w chmurze załatwia sprawę NIS-2? Nie. Choć chmura Microsoft jest bezpieczna, konfiguracja polityk backupu (jak często, gdzie, na jak długo) oraz stworzenie planu Disaster Recovery leży po stronie Twojej firmy i jej partnera wdrożeniowego IT.

Czy dyrektywa NIS2 obowiązuje na całym terytorium Unii Europejskiej? Tak, dyrektywa NIS2 obejmuje całe terytorium Unii Europejskiej. Państwa członkowskie muszą zapewnić odpowiednie mechanizmy i procedury zgłaszania incydentów zgodnie z wymaganiami dyrektywy.

Twój system ERP to serce firmy. Zabezpiecz go zgodnie z prawem.

W Inlogica wdrażamy systemy Business Central, ale dbamy również o to, by działały one w bezpiecznym i zgodnym z przepisami środowisku. Zapytaj nas o audyt bezpieczeństwa danych ERP. Pomożemy Ci wdrożyć sprawdzony plan Business Continuity, skonfigurujemy Azure Backup i przygotujemy infrastrukturę na wypadek awarii, abyś mógł spać spokojnie i spełniać wymogi NIS-2.