NIS2 — Estonia

Kogo to dotyczy tutaj

Zakres NIS2 jest ustalany na poziomie UE i obowiązuje w każdym państwie członkowskim. Zwykle jesteś objęty, jeśli działasz w sektorze z Załącznika I o wysokiej krytyczności (energia, transport, bankowość, zdrowie, woda pitna/ścieki, infrastruktura cyfrowa, zarządzanie ICT, administracja publiczna, kosmos) lub w sektorze z Załącznika II (poczta, odpady, chemikalia, żywność, produkcja, dostawcy cyfrowi, badania) i osiągasz próg wielkości — co najmniej 50 pracowników, albo obrót lub suma bilansowa powyżej 10 mln €. Niektóre podmioty (DNS/TLD, usługi zaufania, publiczna łączność elektroniczna, jedyny dostawca usługi kluczowej) są objęte niezależnie od wielkości, a nawet bez wyznaczenia Twoi objęci klienci przenoszą obowiązki na Ciebie umownie.

Zgłaszanie incydentu i rejestracja

Jeśli istotny incydent wpływa na Twoje usługi, NIS2 wymaga wczesnego ostrzeżenia w 24 godziny, zgłoszenia w 72 godziny i raportu końcowego w ciągu miesiąca (art. 23) — a incydent dostawcy też może uruchomić Twój zegar. Większość objętych podmiotów musi też zarejestrować się u organu krajowego. Skorzystaj z organu i CSIRT powyżej, aby znaleźć krajowy kanał zgłoszeń i rejestracji.

Kary

NIS2 ustala ogólnounijne maksymalne kary — do 10 mln € lub 2% całkowitego rocznego światowego obrotu (kwota wyższa) dla podmiotów kluczowych oraz do 7 mln € lub 1,4% dla podmiotów ważnych (art. 34). Organ zarządzający musi zatwierdzać i nadzorować środki i może ponosić odpowiedzialność (art. 20). Krajowa transpozycja może dodać szczegóły — potwierdź u organu.

Pogłęb temat

Jak norppa.io pomaga tutaj

norppa.io stale monitoruje cyberryzyko Twoich dostawców i mapuje każde ustalenie na artykuły NIS2 — w języku tego kraju i siedmiu innych. Te same dowody wspierają Twoją dokumentację dostawców i pytania organu nadzoru, gdziekolwiek działasz w UE.