28 października 2024

7 listopada 2024 roku wejdzie w życie rozporządzenie określające środki zarządzania ryzykiem cyberbezpieczeństwa

 

17 października 2024 r., Komisja Europejska przyjęła pierwsze przepisy wykonawcze dotyczące cyberbezpieczeństwa podmiotów krytycznych oraz sieci w UE.

 

Rozporządzenie 2024/2690 do dyrektywy NIS2 szczegółowo opisuje:

–   środki zarządzania ryzykiem cyberbezpieczeństwa,

–   przypadki, w których incydent należy uznać za znaczący,

–   przypadki, w których firmy dostarczające infrastrukturę cyfrową i usługi powinny zgłosić incydent organom krajowym.

 

Rozporządzenie będzie miało zastosowanie do określonych kategorii firm świadczących usługi cyfrowe, takich jak: dostawcy usług DNS, rejestry nazw TLD, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa, dostawcy internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawcy usług zaufania.

 

W związku z szerokim katalogiem podmiotów oferujących wskazane usługi, postanowienia aktu wykonawczego będą miały znaczenie również dla branży telekomunikacyjnej. Rozporządzenie, dla każdej kategorii dostawców usług określa również, kiedy incydent jest uważany za znaczący, wskazuje w jaki sposób mają zostać wdrażane i stosowane wymogi techniczne i metodyczne do zarządzania ryzykiem w cyberbezpieczeństwie, a także jakie środki kompensujące mogą zostać wprowadzone.

Rozporządzenie zostało opublikowane 18 października 2024 r. i wchodzi w życie 20 dni po publikacji, czyli w dniu 7 listopada 2024 r. Kompletna treść rozporządzenia dostępna jest tutaj: Rozporządzenie wykonawcze – UE – 2024/2690 – EN – EUR-Lex