autor: Krzysztof Deręgowski

Dyrektywa NIS2, czyli dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej, niedługo wejdzie w życie, wprowadzając istotne zmiany dla podmiotów działających w obszarze usług kluczowych, dostawców usług cyfrowych i podmiotów publicznych. Dyrektywa ta ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w Europie, aby skuteczniej przeciwdziałać rosnącej liczbie cyberataków i incydentów. W ostatnich latach obserwowano alarmujący wzrost cyberataków, takich jak phishing, złośliwe oprogramowanie i ransomware. Wpływ tych ataków na przedsiębiorstwa jest ogromny, ponieważ w dzisiejszych czasach polegamy na sprawnie działającej infrastrukturze cyfrowej zarówno w sferze biznesowej, jak i prywatnej. W związku z tym, bezpieczeństwo cybernetyczne stało się kluczowym wymogiem, nie zaś luksusem.

Czym jest dyrektywa NIS2? 

Wchodząca w życie dyrektywa NIS2 stanowi aktualizację i harmonizację unijnych przepisów dotyczących cyberbezpieczeństwa, które po raz pierwszy zostały wprowadzone w 2016 roku jako dyrektywa NIS. W Polsce była ona znana jako Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Dyrektywa NIS2 przynosi jednak pewne istotne zmiany w zakresie obowiązków dla wymienionych podmiotów. Wprowadza kilka kluczowych elementów, które mają istotne znaczenie dla gospodarki i społeczeństwa. Pierwszą zmianą jest poszerzenie zakresu dyrektywy o więcej sektorów i zmiana klasyfikacji przedsiębiorstw. Dyrektywa uwzględnia teraz średnie i duże przedsiębiorstwa w wybranych sektorach, dając państwom członkowskim elastyczność w identyfikacji mniejszych firm o wysokim ryzyku. NIS2 kładzie również większy nacisk na organy zarządzające objętych dyrektywą spółek. Państwa członkowskie mają zapewnić, że takie organy zarządzające mogą być pociągnięte do odpowiedzialności za naruszenie przepisów dotyczących środków cyberbezpieczeństwa.

Nowa dyrektywa nakłada również surowsze wymogi dotyczące bezpieczeństwa na przedsiębiorstwa, wymaga podejścia opartego na zarządzaniu ryzykiem. Określa również podstawowe środki bezpieczeństwa cybernetycznego, które wszystkie objęte dyrektywą organizacje muszą wdrożyć. Wymogi dotyczące zgłaszania incydentów zostaną wzmocnione, a sankcje za ich niedopełnienie będą podwyższone. NIS2 eliminuje również wcześniejsze rozróżnienie między operatorami usług podstawowych a dostawcami usług cyfrowych. Organizacje zostaną sklasyfikowane według znaczenia i podzielone na kategorie kluczowe i ważne, co skutkuje zastosowaniem różnych rygorów kontroli nadzorczej.

Dodatkowo, przedsiębiorstwa będą musiały zająć się zagrożeniami bezpieczeństwa w łańcuchach dostaw i relacjach z kontrahentami. NIS2 wprowadza również silniejsze środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi egzekwowania środków bezpieczeństwa oraz harmonizację systemów sankcji i obowiązków sprawozdawczych w państwach członkowskich. Wzmocniona zostanie również współpraca i wymiana informacji między państwami członkowskimi.

Te zmiany mają na celu podniesienie poziomu cyberbezpieczeństwa na terenie Unii Europejskiej i zapewnienie większej ochrony kluczowej infrastruktury oraz danych przed coraz bardziej zaawansowanymi cyberzagrożeniami.

Podmioty kluczowe i ważne

W dyrektywie NIS2 dokonano zmiany dotychczasowego podziału na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Zamiast tego wprowadzono rozgraniczenie na podmioty kluczowe i ważne. Katalog sektorów objętych dyrektywą został rozszerzony i zawarty w załącznikach I (sektory kluczowe) i II (sektory ważne). Ważne jest jednak zaznaczenie, że sama klasyfikacja nie decyduje o uznaniu danego podmiotu za kluczowy lub ważny. 

Za podmioty kluczowe uważa się: 

  • Energetyka (energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz, wodór)
  • Transport (lotniczy, kolejowy, wodny, drogowy) 
  • Bankowość
  • Infrastruktura rynków finansowych 
  • Opieka zdrowotna 
  • Woda pitna
  • Ścieki 
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT
  • Sektor administracji publicznej 
  • Przestrzeń kosmiczna

Za podmioty ważne uważa się: 

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów 
  • Produkcja, wytwarzanie i dystrybucja żywności 
  • Produkcja (wyroby medyczne, elektroniczne i optyczne, pojazdów samochodowych) 
  • Dostawcy usług cyfrowych 
  • Badania naukowe 

Do dnia 17 kwietnia 2025r. Państwa członkowskie ustanawiają wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. W przypadku, gdyby organizacja, która jest uznawana za podmiot kluczowy lub ważny zgodnie z dyrektywą NIS2, a nie spełnia wymogów określonych w tej dyrektywie, może być narażona na kary pieniężne. Wysokość tych kar może wynosić do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. Dodatkowo, osoby posiadające odpowiednie uprawnienia w zakresie bezpieczeństwa cybernetycznego lub pełniące funkcje zarządcze w takiej organizacji mogą zostać pociągnięte do osobistej odpowiedzialności za brak zgodności z przepisami dyrektywy NIS2. W takich sytuacjach zawsze zaleca się skonsultowanie się z odpowiednimi specjalistami prawnymi w celu uzyskania konkretnych porad dotyczących przepisów NIS2 i zgodności z nimi.

Przygotowanie

Formalne zatwierdzenie dyrektywy NIS2 nastąpiło 10 listopada 2022 roku, a jej publikacja weszła w życie 16 stycznia 2023 roku. To oznacza, że państwa członkowskie Unii Europejskiej mają 21 miesięcy na rozpoczęcie procesu wdrażania przepisów dyrektywy. Wdrożenie musi zostać zakończone do 17 października 2024 roku, dając firmom czas na odpowiednie przygotowanie.

Jednak istnieje wiele działań, które można podjąć wcześniej, aby podnieść poziom cyberbezpieczeństwa. Ważne jest przyjęcie zasad bezpieczeństwa i prywatności w fazie projektowania podczas wprowadzania nowych procesów lub przeglądu dostawców. Konieczne będzie również spełnienie wymogów NIS2 w sposób kompleksowy, uwzględniający również inne przepisy dotyczące cyberbezpieczeństwa. Polityka bezpieczeństwa cybernetycznego i procedury zarządzania incydentami powinny uwzględniać odpowiednie wymogi, takie jak zgłaszanie incydentów zgodnie z RODO oraz odpowiednie środki techniczne i organizacyjne. Ważne jest również stosowanie uwierzytelniania wieloskładnikowego (MFA), opracowanie solidnych ram zarządzania tożsamością i dostępem (IAM) oraz redukcja powierzchni ataku cyfrowego, co przyczynia się do zwiększenia poziomu cyberbezpieczeństwa.

Jeśli masz trudności w spełnieniu rygorystycznych wymagań dotyczących cyberbezpieczeństwa i przygotowaniu Twojej organizacji do NIS2, możemy Ci pomóc. Jesteśmy wyspecjalizowanym dostawcą rozwiązań w dziedzinie cyberbezpieczeństwa i sieci, posiadamy wiedzę i doświadczenie, które pomogą Ci sprostać wymaganiom NIS2. Skorzystaj z formularza i skontaktuj się z nami. Chętnie odpowiemy na Twoje wszystkie pytania. Zachęcamy również do obejrzenia specjalnego wideo na temat Dyrektywy NIS2.