Nowa dyrektywa Unii Europejskiej – NIS2 – znacząco zmienia podejście do cyberbezpieczeństwa w całej UE. Ze względu na doświadczenia pandemii, rozwój cyberprzestępczości i wybuch wojny w Ukrainie, Komisja Europejska zdecydowała się na nowelizację dotychczasowej regulacji – NIS z 2016 roku. Uznano, że jest ona zbyt ogólna i nie obejmuje wielu kluczowych sektorów (m.in. usługi kurierskie i pocztowe, małe i średnie przedsiębiorstwa uznane za podmiot ważny czy administrację publiczną). Dlatego 27 grudnia 2022r. opublikowano dyrektywę UE 2022/2555, która wprowadziła szereg nowych obowiązków dla instytucji i firm w całej Unii.
Zgodnie z jej przepisami, państwa członkowskie miały czas do października 2024 na wdrożenie przyjętych rozwiązań do przepisów krajowych. Jednak w związku z licznymi zastrzeżeniami do projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, przepisy te nie zostały jeszcze wprowadzone w życie. W czasie pisania tego artykułu (kwiecień 2025), projekt nowelizacji ustawy znajduje się cały czas w przygotowaniu przez Radę Ministrów, a jego termin rozpatrzenia przez Sejm szacuje się na czerwiec br.
Czym jest NIS2 i kogo dotyczy?
Dyrektywa NIS2 (Network and Information Security Directive 2) została wydana “w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii”. Co to faktycznie oznacza? Celem NIS2 jest zwiększenie odporności firm i instytucji na cyberzagrożenia i wymuszenie stosowania podstawowych środków bezpieczeństwa. Zarządzanie ryzykiem, szyfrowanie danych czy kontrola dostępu to tylko niektóre z założonych mechanizmów zabezpieczających. I chociaż brzmią one na najbardziej podstawowe z możliwych – takie, które każda firma powinna już dawno stosować – to niestety wiele podmiotów nadal nie wdrożyło tych rozwiązań do swoich systemów.
Nowe przepisy będą dotyczyć szerszej grupy podmiotów w porównaniu z jej poprzedniczką NIS1. Co ważne – nawet małe i średnie przedsiębiorstwa będą mogły podlegać pod NIS2, jeśli zostaną uznane za podmioty działające w określonych sektorach lub świadczą usługi o szczególnym znaczeniu dla bezpieczeństwa państwa. Więcej informacji o tym, kto podlega pod nową dyrektywę znajdziesz tutaj.
Co ważne, ulegnie zmianie również sposób wyznaczania podmiotów kluczowych i ważnych. Do tej pory, na podstawie ustawy o krajowym systemie cyberbezpieczeństwa, były one wyznaczane na podstawie decyzji administracyjnej. Jednak ze względu na poszerzenie liczby podmiotów, które podlegać będą pod nowe przepisy, w projektowanej ustawie wprowadzono mechanizm samoidentyfikacji. Oznacza to, że przedsiębiorcy będą musieli samodzielnie zweryfikować czy są traktowani jako podmioty kluczowe lub ważne, a następnie będą zobowiązani zarejestrować się w nowym systemie (przez specjalną stronę internetową). Ze względu na utrzymanie dotychczasowego sposobu wyznaczania, tworzy to sytuację, w której istnieć będą dwie równoległe względem siebie metody uznania organizacji za podmiot ważny lub kluczowy.
Co muszą zrobić organizacje?
Zarządzanie ryzykiem (art. 21)
Należy wdrożyć środki techniczne i organizacyjne, które będą odpowiadać poziomowi ryzyka np. polityki, ochrona antywirusowa, backupy i szyfrowanie.
Zgłaszanie incydentów (art. 23)
Incydenty bezpieczeństwa trzeba: wstępnie zgłosić w ciągu 24h od wykrycia, zdać pełne sprawozdanie do 72h oraz przygotować raport końcowy (pełna analiza incydentu) w ciągu miesiąca od jego wystąpienia.
Wymogi dotyczące Zarządu (art. 20)
Kadra kierownicza jest zobowiązana do nadzorowania i zatwierdzania środków bezpieczeństwa – ponosi osobistą odpowiedzialność za wszelkie uchybienia.
Audyt i kontrola
Podmioty mogą być kontrolowane przez organy krajowe takie jak CSIRT GOV, a w razie niezgodności przewidziane są wysokie kary finansowe.
Co grozi za brak zgodności?
Tak jak już wspomniałem, za niedostosowanie swojego systemu do najnowszych wymagań nałożonych przez dyrektywę NIS2, przewidziane są wysokie administracyjne kary pieniężne. W zależności od kategorii podmiotu (tego czy uznany jest za podmiot kluczowy czy ważny) mogą one wynosić do 10 mln euro lub 2% globalnego obrotu dla tych pierwszych oraz do 7 mln euro lub 1,4% obrotu dla drugich.
Co możesz zrobić już teraz?
- Sprawdź czy Twoja firma znajduje się w katalogu podmiotów objętych NIS2 (załącznik I i II dyrektywy).
- Zidentyfikuj obszary ryzyka – czy masz już polityki bezpieczeństwa? Albo procedury zgłaszania incydentów?
- Zaangażuj Zarząd – to od decyzji kierownictwa zależy, czy firma będzie działać zgodnie z przepisami.
- Zacznij przygotowania już teraz – chociaż nie znamy jeszcze dokładnej daty wdrożenia przepisów do polskiego systemu prawnego, nie będzie to termin na start, ale na wdrożenie.
Gotowi na NIS2? My tak.
Jeśli Twoja firma potrzebuje wsparcia przy wdrożeniu NIS2 – jesteśmy do dyspozycji. W SC Lab pomagamy przejść ten proces krok po kroku – skutecznie, mądrze i odpowiedzialnie.
Skontaktuj się z Nami, zanim zrobi to ABW 😉
