Kategorie
bezpieczeństwo IT

Dyrektywa NIS i NIS2 – co zawierają?

Dyrektywa NIS i NIS2 – co zawierają?

Artykuł partnera IT: NETIA, autor: Tomasz Orłowski
źródło: https://www.netia.pl/pl/srednie-i-duze-firmy/youtro-strefa-wiedzy/co-zawiera-dyrektywa-nis-i-nis2

Uchwalona przez Unię Europejską w lipcu 2016 r. Dyrektywa NIS (ang. Network and Information Systems Directive) była fundamentem dla wielu zmian w zakresie cyberbezpieczeństwa we wszystkich krajach członkowskich, a nowe regulacje, które pojawiły się w ich następstwie, objęły kilkaset polskich podmiotów. Dyrektywa NIS2 wprowadza kolejne regulacje, a planowana w jej wyniku nowelizacja ustawy o Krajowym Systemie Bezpieczeństwa (KSC) obejmie niedługo kolejnych kilka tysięcy polskich firm i instytucji. Czy Twoja firma jest na to gotowa?

Dyrektywa NIS – co to jest?

Dyrektywa NIS to pierwsze uchwalone przez Parlament Europejski prawo dotyczące cyberbezpieczeństwa.Jej powstanie było efektem wzmożonego ruchu sieciowego i bardzo dynamicznego rozwoju wszelkiego rodzaju usług online oraz cyfryzacji praktycznie każdego sektora biznesu. Wprowadzenie nowych zasad ujednoliciło poziom bezpieczeństwa cyfrowego w poszczególnych krajach członkowskich. Dyrektywa NIS dawała członkom stosunkowo dużą swobodę w organizacji bezpieczeństwa „na własnym podwórku”.

Co zawiera dyrektywa NIS?

Dyrektywa NIS reguluje trzy obszary (zwane w jej treści filarami) i stanowi bardzo obszerny dokument. W dalszej części artykułu skupimy się na przedstawieniu jej najważniejszych założeń:

• Pierwszy filar – zakłada powstanie w każdym z krajów członkowskich instytucji odpowiedzialnych za bezpieczeństwo cyfrowe, tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty bezpieczeństwa).

• Drugi filar – dotyczy współpracy krajów członkowskich na poziomie technicznym oraz strategiczno-politycznym. Ten filar realizowany jest przez tak zwane Cooperation Group oraz sieć CSIRT, w skład których wchodzą przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja Europejska jako obserwator.

• Trzeci filar – reguluje obowiązek reagowania na incydenty, obowiązek implementacji systemów bezpieczeństwa adekwatnych do ryzyka w poszczególnych sektorach i wiele innych. Dyrektywa nakłada również na członków UE stworzenie dedykowanej strategii narodowej w zakresie cyberbezpieczeństwa.

Czym jest dyrektywa NIS?

Dyrektywa NIS2 to rewizja istniejącej dyrektywy NIS. Jej powstanie było efektem kilku czynników:

• Przyczynił się do tego między innymi wybuch pandemii COVID-19, która znacznie przyśpieszyła cyfryzację, w tym popularyzację i rozwój usług chmurowych oraz zwiększyła znaczenie dostawców usług cyfrowych na rynku. Nowa dyrektywa obejmie swoimi regulacjami także bezpieczeństwo łańcucha dostaw.

• Dyrektywa NIS2 ma też skłonić instytucje państw członkowskich do bardziej skrupulatnego nakładania kar na przedsiębiorstwa, które nie wywiązują się z nałożonych obowiązków przez dyrektywę NIS (w Polsce poprzez ustawę o KSC). W grę wchodzą również kary nakładane na zarządy firm. Wartość kary może sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.

• Trzecim z głównych powodów było niedoszacowanie liczby „krytycznych” pod względem cyberbezpieczeństwa sektorów gospodarki. Wprowadzenie nowej klasyfikacji i dodanie do listy wielu nowych podmiotów ma wpłynąć na poprawę bezpieczeństwa w UE i wiedzy CSIRT (ang. Computer Security Incident Response Team) na temat ogólnego poziomu cyberbezpieczeństwa.

• Problemem, który ujawnił się po uchwaleniu dyrektywy NIS były duże różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty.

Dyrektywa NIS2 nanosi na państwa członkowskie obowiązek opracowania planu i procedur na wypadek wystąpienia incydentów i kryzysów o dużej skali.

Największą zmianą z perspektywy firm i instytucji jest znaczne rozszerzenie zakresu podmiotów objętych zarządzeniami dyrektywy. Już niedługo w naszym kraju na kilka tysięcy firm zostaną nałożone duże wymagania dotyczące cyberbezpieczeństwa. Wiele podmiotów może nie być gotowych do spełnienia warunków. Jak sobie z tym poradzić? Piszemy o tym w dalszej części artykułu.

Dyrektywa NIS a ustawa o KSC

Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w Polsce w życie w sierpniu 2018 r. Była implementacją dyrektywy NIS – pierwszego unijnego prawa regulującego kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Ustawa sklasyfikowała tak zwanych operatorów usług kluczowych (OUK), którzy zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Na liście znalazło się kilkaset podmiotów (w tym firmy z sektora energetycznego, transportowego, bankowość, służba zdrowia i inne).

Do najważniejszych obowiązków OUK należało między innymi:

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,

• ich utrzymanie oraz monitorowanie,

• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON).

Ponadto operatorzy usług kluczowych mają obowiązek przeprowadzania raz na dwa lata audytów swoich zabezpieczeń.

Pod koniec 2020 r. Unia Europejska przyjęła projekt dyrektywy NIS2. W efekcie już miesiąc później, tj. w styczniu 2021 r. rozpoczęto prace nad nowelizacją ustawy o Krajowym Systemie Bezpieczeństwa. Zmiany będą znaczące i obejmą dużą grupę podmiotów (szacuje się, że nawet kilka tysięcy na terenie naszego kraju).

Oprócz operatorów usług kluczowych specjalne wymagania dotyczące cyberbezpieczeństwa spełnić będzie musiała druga grupa – tak zwane podmioty istotne. Mają być tutaj sklasyfikowane m.in. podmioty świadcząceusługi pocztowe i kurierskie, dostawcy usług cyfrowych, producenci maszyn, urządzeń i pojazdów.

Czy Twoja firma ma odpowiednią ochronę przed cyberatakami?

 Nie jesteśmy w stanie przewidzieć, kiedy wejdzie w życie znowelizowana ustawa o KSC (spodziewany czas jest jednak krótki – nawet 3–4 miesiące). W przeciwieństwie do pierwotnej wersji ustawy z 2018 r., główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.

Niestety sprostanie wymogom znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie wymagało znacznie więcej wysiłku niż jedynie stosowanie się do podstawowych zasad cyberbezpieczeństwa. Szacuje się, że wdrożenie wymaganych zmian może zająć firmie nawet kilkanaście miesięcy. To zdecydowanie zbyt długi czas, z uwagi na planowane vacatio legis, czyli okres od publikacji aktu prawnego do momentu jego wejścia w życie, które w przypadku ustawy o KSC wyniesie zaledwie 30 dni.

Jak sobie z tym poradzić? Jednym z najwygodniejszych rozwiązań jest skorzystanie z usługi Netia SOC, czyli Security Operations Center – wykwalifikowanego zespołu specjalistów ds. bezpieczeństwa teleinformatycznego, którzy zajmą się cyberbezpieczeństwem w Twojej firmie. Nowelizacja ustawy o KSC zakłada bowiem, że w realizację założeń mogą być zaangażowane zewnętrzne zespoły SOC, prowadzące proaktywny monitoring sieci przy użyciu wydajnych systemów i reagujące na incydenty bezpieczeństwa, a następnie przesyłające stosowne raporty do sektorowych i krajowych zespołów reagowania CSIRT. Zespół Netia SOC ponadto realizuje szeroki wachlarz zaawansowanych usług bezpieczeństwa, które pomogę w osiągnięciu zgodności z istniejącymi i nowymi regulacjami, m.in. skanowania podatności sieciowych i aplikacyjnych, audyty bezpieczeństwa, testy penetracyjne, analiza złośliwego oprogramowania, ochrona poczty firmowej, ochrona przed wyciekami danych firmowych czy wreszcie szkolenia w zakresie cyberbezpieczeństwa.

Co daje postawienie na zewnętrzny SOC? Zgodność z nowymi przepisami bez wdrażania w firmie poważnych zmian, budowania co najmniej kilkunastoosobowego zespołu i inwestowania w infrastrukturę sprzętową.
Wiesz już, kiedy weszła w życie dyrektywa NIS, co oznacza dyrektywa NIS2 i jak wpływa na ustawę o KSC. Liczymy, że przedstawione tu porady pomogą Twojej firmie odnaleźć się w nowej rzeczywistości.

Kategorie
news

Krajowy System e-Faktur KSeF

Henwar udostępnia usługę wdrożeniową aplikacji łączącej wiele systemów FK do przesyłania faktur do KSeF.

Co to jest KSeF?

źródło: https://www.podatki.gov.pl/ksef/informacje-o-ksef/

Krajowy System e-Faktur (KSeF) umożliwia wystawianie i udostępnianie faktur ustrukturyzowanych. W początkowym okresie faktury ustrukturyzowane będą funkcjonowały w obrocie gospodarczym jako jedna z dopuszczanych form dokumentowania transakcji, obok faktur papierowych i obecnie występujących w obrocie gospodarczym faktur elektronicznych.

Jaki format ma e-Faktura?

Faktura ustrukturyzowana przyjmuje format xml zgodny ze strukturą logiczną e-Faktury FA(2) opublikowaną w Centralnym Repozytorium Wzorów Dokumentów Elektronicznych (CRWDE) na platformie ePUAP.

Jak wystawisz fakturę w KSeF?

Faktury ustrukturyzowane wystawisz:

  • z wykorzystaniem bezpłatnych narzędzi, które udostępni Ministerstwo Finansów,
  • przy użyciu programów komercyjnych.

Etapy wprowadzania KSeF?

  • Od października do grudnia 2021 roku prowadziliśmy pilotaż z udziałem podatników. W celu dostosowania systemów informatycznych można nadal korzystać z udostępnionego środowiska testowego KSeF. Szczegóły dotyczące testowania umieszczono w zakładce Strefa testowa KSeF.
  • Od 1 stycznia 2022 roku wprowadzamy Krajowy System e-Faktur jako rozwiązanie dobrowolne [1]. Od tego momentu będziesz miał możliwość wystawienia faktur ustrukturyzowanych w ramach Krajowego Systemu e-Faktur (KSeF).
  • Rada Unii Europejskiej zgodziła się aby fakturowanie elektroniczne w Polsce było obowiązkowe [2]. Z treścią decyzji derogacyjnej z 17 czerwca 2022 roku  możesz zapoznać się w bazie aktów prawnych Unii Europejskiej   
  • Od 1 lipca 2024 roku wprowadzamy Krajowy System e-Faktur jako rozwiązanie obowiązkowe [3].
Od stycznia 2022 roku możesz skorzystać z KSeF dobrowolnie, natomiast od 1 lipca 2024 roku KSeF stanie się rozwiązaniem obligatoryjnym

Czy muszę przystąpić do KSeF?

W pierwszym etapie wdrażania KSeF to Ty zdecydujesz, czy wystawić fakturę ustrukturyzowaną w KSeF, czy też pozostać przy dotychczas stosowanym rozwiązaniu.

Kto korzysta z KSeF?

  • Przedsiębiorcy zarejestrowani jako czynni podatnicy podatku VAT,
  • Przedsiębiorcy zwolnieni z podatku VAT
  • Podatnicy zidentyfikowani w Polsce do szczególnej procedury unijnej OSS, posiadający polski identyfikator podatkowy NIP.

KSeF a PEF

System faktur ustrukturyzowanych w rozumieniu ustawy z dnia 9 listopada 2018 r. o elektronicznym fakturowaniu  w zamówieniach publicznych, koncesjach na roboty budowlane lub usługi oraz partnerstwie publiczno-prywatnym (Dz. U. z 2020 r. poz. 1666) i system faktur ustrukturyzowanych wystawianych w ramach KSeF w wersji fakultatywnej będą systemami funkcjonującymi odrębnie.

Logo: Krajowy System e-Faktur

 Podstawa prawna

  • [1] Ustawa z dnia 29 października 2021 r. o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz. U. z 2021 r. poz. 2076)
  • [2] Decyzja wykonawcza Rady (UE) 2022/1003 z dnia 17 czerwca 2022 r. upoważniająca Rzeczpospolitą Polską do stosowania szczególnego środka stanowiącego odstępstwo od art. 218 i 232 dyrektywy 2006/112/WE w sprawie wspólnego systemu podatku od wartości dodanej (Dz. Urz. UE L 168, 27.6.2022, s. 81-83)
  • [3] Ustawa z dnia 16 czerwca 2023 r. o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz. U. 2023 r. poz.1598)

Czy można wykorzystać swoje aktualne programy do połączenia wysyłki faktur z różnych systemów do KSeF? Tak! Jak to działa?

Skontaktuj się z nami. Konsultacje, audyt przedwrażeniowy, wycena:

Kategorie
bezpieczeństwo IT

Czy to koniec oszustw na SMS? Nowe prawo weszło w życie.

25 września 2023 roku wejdzie w życie nowe prawo zwalczające nadużycia w komunikacji elektronicznej. Na celowniku znalazły się przede wszystkim fałszywe SMS-y, którymi oszuści próbują wyłudzać pieniądze. Jakie zmiany przewiduje ustawa i czy to koniec dziwnych wiadomości z linkami?

źródło: czytaj więcej na https://geekweek.interia.pl/technologia/news-czy-to-koniec-oszustw-na-sms-nowe-prawo-od-poniedzialku,nId,7043208#utm_source=paste&utm_medium=paste&utm_campaign=safari

  • spoofing – podszywanie się pod elementy systemu teleinformatycznego instytucji, firm, banków;
  • phishing – podszywanie się pod inną osobę lub instytucję w celu wyłudzenia wrażliwych informacji;
  • smishing – szczególny przypadek phishingu, gdzie do wyłudzenia wykorzystuje się wiadomości SMS.

Przestępcy (jak przez całą historię naszego gatunku) nadążają za innowacjami technologicznymi i nie przepuszczają żadnej szansy żeby dorobić się kosztem innych. W większości przypadków próby kradzieży spełzają na niczym. W zalewie fałszywych SMS-ów często znajdzie się jednak kilka osób, które z braku wiedzy, nadmiaru ufności czy strachu klikną w link lub udzielą komuś informacji, które mogą posłużyć np. do zaciągnięcia pożyczki.
Podaj adres, bo przesyłka czeka? SMS to oszustwo, które może ciebie drogo kosztować

Opisanym powyżej, ale także innym formom cyberprzestępczości ma przeciwdziałać nowe prawo, które wejdzie w życie w poniedziałek, 25 września. Dokument, który prezydent Andrzej Duda podpisał jeszcze w sierpniu to Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej.

Jakie zmiany wprowadza ustawa? Najwięcej pracy mają operatorzy

Główny ciężar zmian, które mają chronić nas przed oszustami, będzie spoczywał na telekomach – operatorzy będą zobowiązani do blokowania SMS-ów wyczerpujących znamiona smishingu (SMS phishing). Blokowane będą też połączenia głosowe podszywające się pod inne osoby lub instytucje.

Szablony wiadomości, które posłużą do rozpoznawania fake’ów przygotuje NASK-CSIRT (komórka jednego z instytutów badawczych PIB – Naukowej Akademickiej Sieci Komputerowej). Dodatkowo Urząd Komunikacji Elektronicznej (UKE) będzie też prowadził rejestr numerów niebezpiecznych. Te zostaną udostępnione operatorom, a następnie zablokowane.

Czytaj więcej na https://geekweek.interia.pl/technologia/news-czy-to-koniec-oszustw-na-sms-nowe-prawo-od-poniedzialku,nId,7043208#utm_source=paste&utm_medium=paste&utm_campaign=safari

Kategorie
news

VMWare dodaje wsparcie dla Windows 11 na Macach z Apple Silicon

VMWare poinformowało, że dodaje wsparcie dla systemu Windows 11 w komputerach Mac z procesorami Apple Silicon. Obsługę wprowadzono w poglądowej wersji Fusion 22H2 Tech Preview. Przy okazji na maszynach z Apple M1 poprawiono obsługę Linuksa czy dodano wsparcie dla wirtualnego TPM.

Apple porzuciło wsparcie dla narzędzia Boot Camp w Macach z jego autorskimi procesorami. Dlatego uruchamianie okienek na tych komputerach nie jest takie proste. Jeśli jednak chcecie na nich pracować z Windows 11, to teraz będzie to możliwe za sprawą nowego oprogramowania VMWare.

VMWare udostępniło narzędzie Fusion 22H2 Tech Preview, w którym na Macach z Apple Silicon dodano wsparcie dla systemu Windows 11. Jest to najważniejsza nowość w tej aplikacji. Instalacja okienek na tych maszynach jest prosta z użyciem VMTools. Przy okazji wprowadzono obsługę wirtualnego TPM.

Ponadto w VMWare w Fusion 22H2 Tech Preview poprawiło obsługę Linuksa na komputerach z chipem Apple M1. Następnie mamy sprzętową akcelerację grafiki i OpenGL 4.3 w wirtualnych maszynach z Linuksem. Stworzono też uniwersalne binaria dla Maców z procesorami Intela i Apple.

Pobierz:
VMware Fusion Public Tech Preview 22H2

źródło: https://www.komputerswiat.pl/aktualnosci/programy/vmware-dodaje-wsparcie-dla-windows-11-na-macach-z-apple-silicon/3hcbh7l

 

Kategorie
bezpieczeństwo IT

Przedłużenie obowiązywania stopni alarmowych do 30 listopada 2023 r.

Przedłużenie obowiązywania stopni alarmowych do 30 listopada 2023 r.

Premier Mateusz Morawiecki podpisał zarządzenia, które przedłużają do 30 listopada 2023 roku obowiązywanie stopni alarmowych: 3. stopnia CHARLIE-CRP, 2. stopnia BRAVO na terenie całego kraju oraz 2. stopnia BRAVO wobec polskiej infrastruktury energetycznej, mieszczącej się poza granicami Rzeczypospolitej Polskiej.

źródło: https://www.gov.pl/web/rcb/przedluzenie-obowiazywania-stopni-alarmowych-do-30-listopada-2023-r

Premier Mateusz Morawiecki podpisał zarządzenia, które do 30 listopada 2023 roku przedłużają obowiązywanie trzech stopni alarmowych:

  • trzeciego stopnia alarmowego CRP (3. stopień CHARLIE-CRP) na całym terytorium Rzeczypospolitej Polskiej – zarządzenie nr 364 z 31 sierpnia 2023 roku;
  • drugiego stopnia alarmowego (2. stopień BRAVO) na całym terytorium Rzeczypospolitej Polskiej – zarządzenie nr 363 z 31 sierpnia 2023;
  • drugiego stopnia alarmowego (2. stopień BRAVO) wobec polskiej infrastruktury energetycznej mieszczącej się poza granicami Rzeczypospolitej Polskiej – zarządzenie nr 365 z 31 sierpnia 2023 roku.
Skip to content