Komisja Europejska przyjęła rozporządzenie wykonawcze na podstawie dyrektywy 2022/2555 dotyczącej cyberbezpieczeństwa (NIS2). Określa ono, jakie incydenty należy uznawać za poważne.
Dyrektywa NIS2 jest w tej kwestii ogólnikowa. Mówi, że incydent uznaje się za poważny, jeżeli spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu oraz wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. KE opracowała zaś szczegółowe kryteria uznania incydentu za poważny. Będzie to m.in. incydent, który spowodował lub może spowodować bezpośrednią stratę finansową dla podmiotu właściwego przekraczającą 500 tys. euro lub 5 proc. rocznych przychodów (liczy się kwota niższa), oznaczający ryzyko śmierci lub znacznej szkody dla zdrowia czy też ujawnienie tajemnic handlowych. Może też chodzić o udany złośliwy i nieautoryzowany dostęp do sieci i systemów informatycznych, który może spowodować poważne zakłócenia operacyjne.
Ponadto w odniesieniu do poszczególnych rodzajów podmiotów podlegających przepisom NIS2 KE przedstawiła specyficzne kryteria. Na przykład w przypadku dostawców usług centrów danych incydent będzie poważny m.in. w razie całkowitej niedostępności usługi lub ograniczenia jej dostępności przez czas dłuższy niż jedna godzina.
Załóż konto lub zaloguj się
i zyskaj dostęp na 14 dni za darmo.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.