Unijne wytyczne dla bezpieczeństwa cyfrowego. Co musisz wiedzieć o dyrektywnie NIS2?

clock 6m 20s

W dobie postępującej digitalizacji priorytetem jest zapewnienie bezpieczeństwa danych i systemów informatycznych. Dyrektywa NIS2 stanowi kolejny krok Unii Europejskiej w kierunku wzmocnienia ochrony infrastruktury krytycznej. Czym dokładnie jest wprowadzona w 2023 roku dyrektywa NIS2? Jakie zmiany wprowadza i jakie obowiązki nakłada na operatorów usług kluczowych? Przyjrzyjmy się bliżej nowym przepisom i zadaniom, które czekają przedsiębiorstwa działające w cyfrowym świecie.

Dyrektywa NIS2, będąca nowelizacją pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa NIS, ma na celu dostosowanie w całej Unii Europejskiej standardów bezpieczeństwa informatycznego do nowych zagrożeń cyfrowych. Zaktualizowana dyrektywa ma podnosić wymogi związane z zarządzaniem ryzykiem, usprawniać reagowanie na zdarzenia w zakresie cyberbezpieczeństwa oraz narzucać obowiązki związane z raportowaniem incydentów bezpieczeństwa.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument prawno-regulacyjny ustanawiający ogólne standardy w zakresie cyberbezpieczeństwa jednostek krytycznych dla funkcjonowania społeczeństwa UE. Stanowi aktualizacje pierwotnej dyrektywy NIS z 2016 roku i jest odpowiedzią na zmieniający się krajobraz cyfrowy oraz coraz bardziej zaawansowane ataki cybernetyczne. NIS2 określa nowe zasady bezpieczeństwa dla operatorów usług kluczowych zarówno w sektorze publicznym, jak i prywatnym, działających w takich obszarach jak energetyka, bankowość czy opieka zdrowotna.

Pełna nazwa NIS2 brzmi „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”.

Kiedy wprowadzono NIS2 i kiedy upływa termin implementacji nowych wymagań?

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku. Zgodnie z wytycznymi UE termin implementacji nowych wymagań minął 17 października 2024 roku. Jednak na gruncie prawa polskiego przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która to, jak zapowiada Ministerstwo Cyfryzacji, wejdzie w życie w pierwszym kwartale 2025.

NIS2

Co zmienia dyrektywa NIS2?

Dyrektywa NIS2, względem pierwszej wersji dokumentu, wprowadza między innymi następujące zmiany:

  1. W znowelizowanej dyrektywie poszerzono zakresu podmiotów objętych regulacjami, obejmując więcej sektorów gospodarki.
  2. W NIS2 rezygnuje się z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego klasyfikuje organizacje według ich znaczenia oraz dzieli je na podmioty kluczowe i podmioty ważne.
  3. Nowa dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach oraz umożliwia elastyczne podejście w identyfikacji mniejszych firm o wysokim profilu ryzyka.
  4. Znowelizowany dokument nakłada na podmioty nowe obowiązki, takie jak wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, implementację polityki bezpieczeństwa systemów, zabezpieczenie łańcuchów dostaw czy opracowanie Planu Ciągłości Działania.
  5. Dyrektywa NIS2 zaostrza wymogi dotyczące zgłaszania incydentów i podwyższa sankcje za ich nieprzestrzeganie. Na przykład, podmioty kluczowe i ważne będą miały obowiązek zgłaszania poważnych incydentów do właściwego CSIRT (lub innego organu) w określonych terminach. Organizacje te mogą również zostać zobowiązane do powiadomienia swoich klientów o wystąpieniu zdarzenia, a w szczególnych sytuacjach nawet o samym zagrożeniu.

Przeczytaj również: Czym jest rozporządzenie DORA i jakie ma znaczenie dla sektora finansowego?

Uprawnienia organów nadzorczych w zakresie kontroli i egzekwowania przepisów

Dyrektywa NIS2 nadaje organom nadzorczym rozległe uprawnienia do kontroli i egzekwowania przepisów. Wśród nich znajdują się między innymi:

    • przeprowadzanie niezależnych i ukierunkowanych audytów bezpieczeństwa oraz nakazanie wdrożenia zaleceń poaudytowych,
    • wnioskowanie o udostępnienie informacji, dostępu do danych i dokumentów,
    • wydawanie nakazów zapewnienia zgodności z dyrektywą NIS2.

Szczegółowy zakres uprawnień będzie różnił się w zależności od tego, czy działania dotyczyć będą podmiotów kluczowych czy ważnych. W przypadku niedostosowania się do dyrektywy przez te pierwsze, organy nadzorcze będą miały możliwość tymczasowego zawieszenia certyfikacji, zezwolenia na świadczenie usług czy prowadzenia działalności.

Kogo dotyczy dyrektywa NIS2?

Nowa dyrektywa NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, dzieląc je na podmioty kluczowe i podmioty ważne. Dyrektywa obejmuje średnie przedsiębiorstwa z sektorów publicznych i prywatnych z państw członkowskich UE.

Dokument NIS2 wprowadza także podmioty, które nie były objęte pierwszą wersją dyrektywy. Prognozy wskazują, że zobowiązanych do dostosowania swoich standardów bezpieczeństwa do nowych przepisów będzie w Polsce kilka tysięcy firm. Nowa dyrektywa rozszerza katalog organizacji o takie branże jak:

    • energetyka,
    • transport,
    • bankowość i finanse,
    • wodno-kanalizacyjna,
    • opieka zdrowotna,
    • administracja publiczna,
    • produkcja żywności.

Podmioty kluczowe wg NIS2 (zgodnie z załącznikiem I dyrektywy):

    • energetyka,
    • transport,
    • bankowość,
    • infrastruktura rynków finansowych,
    • opieka zdrowotna,
    • sektor wody pitnej,
    • ścieki,
    • infrastruktura cyfrowa,
    • zarządzanie usługami ICT,
    • administracja publiczna,
    • przestrzeń kosmiczna.

Podmioty ważne wg NIS2 (zgodnie z załącznikiem II dyrektywy):

    • usługi pocztowe i kurierskie,
    • gospodarowanie odpadami,
    • produkcja, przetwarzanie i dystrybucja chemikaliów,
    • produkcja, przetwarzanie i dystrybucja żywności,
    • produkcja (w szerokim znaczeniu),
    • usługi cyfrowe,
    • badania naukowe.

Przeczytaj również: Outsourcing cyberbezpieczeństwa – czy warto z niego korzystać?

Kary za niedostosowanie się do przepisów NIS2

Znowelizowana dyrektywa NIS2 wprowadza precyzyjne przepisy dotyczące nakładania kar pieniężnych i sankcji za naruszenie jej przepisów. W przypadku podmiotów kluczowych za złamanie zasad zarządzania ryzykiem lub zgłaszania incydentów, mogą zostać nałożone kary administracyjne sięgające nawet 10 mln euro lub 2% łącznego rocznego obrotu. Podmioty ważne mogą zostać ukarane grzywną w wysokości 7 mln euro lub 1,4% łącznego rocznego obrotu.

Dyrektywa NIS2 przewiduje także możliwość nakładania okresowych kar pieniężnych, aby wymusić przestrzeganie przepisów oraz wprowadza sankcje karne z tytułu naruszenia przepisów dyrektywy.

Dyrektywa NIS2 kary

Jakie działania musi podjąć Twoja firma w związku NIS2? Pierwszym krokiem audyt bezpieczeństwa

Jeśli Twoja firma zalicza się do grona podmiotów kluczowych lub ważnych, to zgodnie z unijnymi przepisami, musisz podjąć konkretne działania, aby dostosować się do nowych standardów i uniknąć kar związanych z ich naruszeniem. Po pierwsze powinieneś przeprowadzić audyt systemu informacyjnego, który pozwoli na określenie poziomu bezpieczeństwa i zgodności z nowymi wymaganiami NIS2, a także wskaże obszary wymagające poprawy.

Zgodnie z dyrektywną organizacje muszą opracować Plan Ciągłości Działania oraz wdrożyć odpowiednie rozwiązania z zakresu zarządzania ryzykiem i analizy bezpieczeństwa. Zabezpieczenie infrastruktury cyfrowej, zapewnienie zgodności z dyrektywą NIS2 oraz świadome podejście do zarządzania incydentami to kluczowe elementy wdrażania nowych przepisów.

Zdajemy sobie sprawę, że implementacja tych wymagań, to złożony proces, wymagający staranności i eksperckiej wiedzy z zakresu cyberbezpieczeństwa. Dlatego nasi doświadczeni specjaliści chętnie udzielą profesjonalnego wsparcia, dostosowując Twoją organizację do wymagań dyrektywy NIS2 oraz przeprowadzając audyt zgodności z nowymi przepisami. Opracujemy spersonalizowane rozwiązania, idealnie dopasowane do potrzeb Twojego przedsiębiorstwa – niezależnie od branży, w której działasz i poziomu stosowanych zabezpieczeń.


Skontaktuj się z nami już dziś, aby przygotować swoją firmę na zmiany, które wprowadza NIS2. Pomożemy w całym procesie oraz przeprowadzimy audyt zgodności.

Napisz do nas na [email protected] lub skorzystaj z formularza w stopce strony.

 


Sprawdź jak możemy wesprzeć Cię w zakresie spełnienia wymagań dyrektywy NIS2.

Dowiedź się więcej

 

Dyrektywa NIS2

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:




    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:



      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!