Logo Ratels
 
 
 
Powrót do bloga

27.03.2025

NIS2 – jakie obowiązki muszą spełnić firmy?

Dyrektywa NIS2 (Network and Information Security Directive 2) to zaktualizowane ramy prawne Unii Europejskiej dotyczące cyberbezpieczeństwa. Stanowi rozwinięcie i zaostrzenie wymagań wprowadzonych przez pierwszą dyrektywę NIS, uwzględniając dynamicznie zmieniające się zagrożenia i rosnącą zależność gospodarki od infrastruktury cyfrowej.

Wraz z postępującą cyfryzacją i coraz większymi powiązaniami pomiędzy systemami informatycznymi zarówno w obrębie jednego kraju, jak i na poziomie międzynarodowym, cyberbezpieczeństwo stało się kluczowym elementem funkcjonowania społeczeństwa i gospodarki. Coraz częstsze i bardziej zaawansowane cyberataki stanowią poważne zagrożenie, które może prowadzić do zakłóceń w działalności firm, strat finansowych oraz utraty zaufania użytkowników.

Nasilające się incydenty wpływają nie tylko na pojedyncze organizacje, ale również na funkcjonowanie całych sektorów, takich jak energetyka, transport czy finanse, a w skrajnych przypadkach mogą zagrozić stabilności gospodarki i społeczeństwa. W związku z tym Unia Europejska wprowadziła bardziej rygorystyczne przepisy, które mają na celu zwiększenie gotowości do reagowania na zagrożenia oraz wzmocnienie współpracy między krajami członkowskimi.

Cyberbezpieczeństwo stało się kluczowym elementem skutecznej transformacji cyfrowej, pozwalając firmom i instytucjom w pełni korzystać z możliwości, jakie niesie cyfryzacja. Dlatego dyrektywa NIS2 nakłada nowe obowiązki na przedsiębiorstwa i organizacje, aby zapewnić większą ochronę systemów informatycznych i zwiększyć odporność na cyberzagrożenia.

Dyrektywa NIS2 – co to jest?

Dyrektywa NIS-2 zastępuje pierwszą dyrektywę NIS z 2016 roku i została wprowadzona w odpowiedzi na rosnące zagrożenia cybernetyczne oraz rozwój technologii cyfrowych. Jej głównym celem jest ujednolicenie standardów cyberbezpieczeństwa w Unii Europejskiej, aby skuteczniej chronić infrastrukturę krytyczną, gospodarkę i społeczeństwo przed skutkami cyberataków. Nowe przepisy obejmują szerszy zakres podmiotów, wzmacniają obowiązki w zakresie zarządzania ryzykiem oraz wprowadzają bardziej rygorystyczne zasady raportowania incydentów i egzekwowania przepisów.

Dyrektywa NIS2 – kogo dotyczy?

W porównaniu do poprzedniej regulacji, dyrektywa NIS2 obejmuje większą liczbę sektorów i firm. Podzieliła ona podmioty na dwie główne kategorie:

  • Podmioty kluczowe 

obejmujące sektory o fundamentalnym znaczeniu dla gospodarki i społeczeństwa, m.in. energetykę, transport, sektor finansowy, zdrowie czy dostawców infrastruktury cyfrowej.

  • Podmioty ważne 

przedsiębiorstwa, które mimo mniejszego wpływu na bezpieczeństwo UE, nadal podlegają regulacjom w zakresie cyberbezpieczeństwa. Są to m.in. usługi pocztowe, produkcja chemikaliów, przemysł spożywczy czy dostawcy usług cyfrowych.

Dodatkowo, dyrektywa obejmuje również firmy spoza UE, które świadczą usługi na jej terenie.

Dyrektywa NIS2 – od kiedy obowiązuje?

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku, a państwa członkowskie miały obowiązek wdrożyć jej przepisy do prawa krajowego do 17 października 2024 roku. Oznacza to, że do tego czasu przedsiębiorstwa powinny przygotować się na nowe wymagania i dostosować swoje systemy oraz polityki cyberbezpieczeństwa.

Dyrektywa NIS2 – wymagania dla firm

Dyrektywa NIS2 nakłada szereg nowych obowiązków na podmioty objęte regulacją. Do kluczowych wymagań należą:

Środki zarządzania ryzykiem

Firmy zobowiązane są do wdrożenia kompleksowych środków zarządzania ryzykiem w cyberbezpieczeństwie, które minimalizują zagrożenia związane z cyberatakami i zapewniają odporność infrastruktury IT. Wymagane działania obejmują:

  1. Politykę analizy ryzyka i bezpieczeństwa systemów informacyjnych – opracowanie i wdrożenie strategii identyfikacji zagrożeń oraz mechanizmów ich neutralizacji.
  2. Obsługę incydentów – ustanowienie procedur wykrywania, raportowania i reagowania na incydenty cyberbezpieczeństwa w celu ograniczenia ich skutków.
  3. Ciągłość działania i zarządzanie kryzysowe – wdrożenie planów awaryjnych, polityk zarządzania kopiami zapasowymi oraz procedur przywracania normalnego funkcjonowania po wystąpieniu sytuacji nadzwyczajnej.
  4. Bezpieczeństwo łańcucha dostaw – uwzględnienie aspektów bezpieczeństwa w relacjach z dostawcami i usługodawcami, w tym ocena ich procedur oraz jakości stosowanych praktyk cyberbezpieczeństwa.
  5. Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania systemów IT – wdrażanie najlepszych praktyk w zakresie eliminacji podatności i bezpiecznego zarządzania cyklem życia systemów informatycznych.
  6. Ocena skuteczności środków zarządzania ryzykiem – regularna analiza wdrożonych procedur i ich dostosowywanie do zmieniających się zagrożeń.
  7. Cyberhigiena i szkolenia – zapewnienie odpowiedniego poziomu wiedzy i umiejętności pracowników poprzez stałe szkolenia w zakresie cyberbezpieczeństwa.
  8. Polityki kryptograficzne i szyfrowanie – wdrożenie standardów ochrony danych, w tym stosowanie mechanizmów szyfrowania i zarządzania kluczami kryptograficznymi.
  9. Bezpieczeństwo zasobów ludzkich i kontrola dostępu – skuteczne zarządzanie tożsamościami użytkowników oraz wdrażanie zasad minimalnych uprawnień do systemów i danych.
  10. Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja – stosowanie technologii zapewniających bezpieczny dostęp do systemów oraz ochronę transmisji danych, zwłaszcza w sytuacjach nadzwyczajnych.

Obowiązek raportowania incydentów

Podmioty objęte dyrektywą muszą zgłaszać incydenty cyberbezpieczeństwa do właściwego organu nadzorczego w trzech etapach:

  1. Wstępne zgłoszenie – w ciągu 24 godzin od wykrycia incydentu.
  2. Szczegółowy raport – w ciągu 72 godzin.
  3. Końcowy raport – do miesiąca od zgłoszenia.

Odpowiedzialność kadry zarządzającej

Dyrektywa nakłada większą odpowiedzialność na zarządy firm, które muszą dbać o wdrażanie polityk cyberbezpieczeństwa i zapewnienie zgodności z przepisami.

Współpraca i wymiana informacji

Podmioty muszą współpracować z organami nadzorczymi i wymieniać informacje o zagrożeniach oraz stosowanych środkach bezpieczeństwa.

Audyty i ocena zgodności

Firmy muszą regularnie przeprowadzać audyty i testy odporności na cyberzagrożenia, a także poddawać się kontrolom organów regulacyjnych.

Sankcje za brak zgodności z dyrektywą NIS2

Dyrektywa NIS2 przewiduje surowe kary finansowe za nieprzestrzeganie jej przepisów. W zależności od kategorii podmiotu mogą wynosić:

  • Dla podmiotów kluczowych – do 10 milionów euro lub 2% globalnego rocznego obrotu.
  • Dla podmiotów ważnych – do 7 milionów euro lub 1,4% globalnego rocznego obrotu.

Dyrektywa NIS2 wprowadza szereg istotnych zmian, które mają na celu zwiększenie odporności europejskich firm na cyberzagrożenia. Rozszerzenie zakresu regulacji oraz surowsze kary wymuszają na przedsiębiorstwach większą dbałość o polityki cyberbezpieczeństwa i wdrażanie środków ochrony danych oraz infrastruktury IT.

W Polsce wdrożenie dyrektywy NIS2 będzie realizowane poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która określi szczegółowe obowiązki dla podmiotów kluczowych i ważnych oraz procedury nadzoru i sankcji. W związku z tym firmy powinny monitorować prace legislacyjne i przygotowywać się na dostosowanie do wymogów prawa krajowego, aby uniknąć ryzyka kar finansowych oraz operacyjnych ograniczeń w prowadzeniu działalności.

Artykuły powiązane

Copyright © 2025 Ratels. All rights reserved.

Design & development

Design & development www.artnova.com.pl