W dobie narastających cyberzagrożeń, coraz bardziej złożonych ataków hakerskich oraz rosnącej zależności od technologii cyfrowych, Unia Europejska podjęła zdecydowane kroki w kierunku podniesienia poziomu bezpieczeństwa w sieci. Efektem tych działań jest dyrektywa NIS2 – czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., która zastępuje pierwszą wersję regulacji NIS z 2016 roku.
Nowe przepisy mają ogromne znaczenie dla tysięcy przedsiębiorstw w całej Unii, w tym również w Polsce. NIS2 nakłada szeroki zakres obowiązków na podmioty działające w sektorach kluczowych i ważnych, wprowadzając m.in. wymogi w zakresie zarządzania ryzykiem, zgłaszania incydentów i odpowiedzialności zarządu. W artykule przedstawiamy, czym jest NIS2, kogo dotyczy, jakie są jej wymagania i jak przygotować się do ich wdrożenia.
Czym jest dyrektywa NIS2?
NIS2 (Network and Information Systems Directive 2) to unijna dyrektywa mająca na celu zwiększenie odporności cyfrowej i bezpieczeństwa systemów informacyjnych w całej Wspólnocie. Stanowi ona odpowiedź na rosnącą skalę i złożoność cyberataków, które mogą zakłócić funkcjonowanie kluczowej infrastruktury i usług społecznie istotnych.
Celem NIS2 jest:
• zwiększenie poziomu cyberbezpieczeństwa na terenie UE,
• ujednolicenie przepisów pomiędzy państwami członkowskimi,
• objęcie większej liczby podmiotów regulacją,
• ustanowienie wspólnych ram zarządzania ryzykiem i reagowania na incydenty.
Dyrektywa ta wchodzi w życie w państwach członkowskich od 17 października 2024 roku, co oznacza, że do tego dnia Polska (i inne kraje UE) muszą ją wdrożyć do krajowego porządku prawnego.
Kogo dotyczy NIS2?
NIS2 rozszerza zakres podmiotowy w porównaniu do dyrektywy NIS1. Wyróżnia dwie główne kategorie organizacji:
1. Podmioty kluczowe (essential entities)
Działają w sektorach, których funkcjonowanie ma fundamentalne znaczenie dla społeczeństwa i gospodarki, m.in.:
• energetyka (elektryczność, gaz, paliwa),
• transport (kolej, lotnictwo, drogi, żegluga),
• bankowość i infrastruktura rynków finansowych,
• ochrona zdrowia (szpitale, laboratoria),
• dostawcy usług ICT, DNS i rejestratorzy domen,
• woda pitna i ścieki.
2. Podmioty ważne (important entities)
Obejmują sektory, które mają istotne znaczenie, ale nie są aż tak krytyczne. To m.in.:
• produkcja maszyn i urządzeń,
• poczta i usługi kurierskie,
• chemia, żywność,
• produkcja cyfrowa,
• usługi administracji publicznej (na poziomie lokalnym).
Obowiązki różnią się między tymi grupami głównie pod kątem nadzoru i kontroli, ale wymogi w zakresie bezpieczeństwa są takie same.
Nowe obowiązki wynikające z NIS2
NIS2 wprowadza znacząco bardziej szczegółowe i rygorystyczne wymagania w zakresie bezpieczeństwa. Oto kluczowe z nich:
1. Zarządzanie ryzykiem i środki bezpieczeństwa
Podmioty muszą wdrożyć polityki i środki techniczne oraz organizacyjne, które:
• identyfikują ryzyka dla systemów informatycznych,
• zapobiegają incydentom bezpieczeństwa,
• zapewniają ciągłość działania i odzyskiwanie po awarii,
• chronią przed atakami ransomware i innymi zagrożeniami.
Szczegółowe środki obejmują m.in.:
• analizę ryzyka i politykę bezpieczeństwa,
• zarządzanie incydentami,
• zarządzanie łańcuchem dostaw,
• szyfrowanie i uwierzytelnianie wieloskładnikowe (MFA),
• regularne testy bezpieczeństwa (np. testy penetracyjne).
2. Zgłaszanie incydentów
Obowiązuje nowy model raportowania incydentów:
• wstępne zgłoszenie – w ciągu 24 godzin od wykrycia,
• raport śródokresowy – w ciągu 72 godzin,
• raport końcowy – do miesiąca od zgłoszenia.
Dotyczy to incydentów mających znaczący wpływ na świadczenie usług.
3. Odpowiedzialność zarządu
Nowością NIS2 jest wyraźne wskazanie, że zarząd odpowiada za zgodność z przepisami. Członkowie zarządów muszą:
• nadzorować wdrożenie polityki bezpieczeństwa,
• odpowiadać za decyzje strategiczne w tym obszarze,
• przechodzić szkolenia z cyberbezpieczeństwa.
Nieprzestrzeganie obowiązków może skutkować karami finansowymi lub administracyjnymi, również wobec osób fizycznych.
4. Zarządzanie dostawcami i łańcuchem dostaw
NIS2 kładzie nacisk na ocenę bezpieczeństwa dostawców i podmiotów trzecich. Wymaga się od organizacji:
• zarządzania ryzykiem w relacjach z dostawcami IT i usługodawcami,
• aktualizacji umów i wymagań bezpieczeństwa dla stron trzecich.
5. Rejestracja i nadzór
Państwa członkowskie mają obowiązek stworzyć rejestry podmiotów objętych NIS2, a odpowiednie organy nadzorcze (w Polsce będzie to najprawdopodobniej CSIRT NASK, ABW lub UODO) będą mogły prowadzić kontrole i nakładać sankcje.
Kary i sankcje
Za naruszenia dyrektywy NIS2 mogą zostać nałożone:
• kary administracyjne do 10 milionów euro lub 2% globalnego rocznego obrotu,
• środki naprawcze, zakaz działalności, obowiązek wdrożenia środków zaradczych,
• odpowiedzialność kadry zarządzającej.
Jak przygotować organizację do wdrożenia NIS2?
1. Identyfikacja statusu – czy organizacja jest podmiotem kluczowym lub ważnym?
2. Analiza luk – porównanie obecnego poziomu cyberbezpieczeństwa z wymaganiami NIS2.
3. Opracowanie polityki bezpieczeństwa i planu zarządzania incydentami.
4. Szkolenia dla zarządu i kadry IT.
5. Wdrożenie środków technicznych – takich jak MFA, systemy EDR/XDR, szyfrowanie.
6. Audyt dostawców i aktualizacja umów.
7. Monitorowanie wytycznych implementacyjnych w Polsce – przepisy krajowe mogą uzupełnić wymagania UE.
Dyrektywa NIS2 to jeden z najważniejszych aktów prawnych dotyczących cyberbezpieczeństwa w historii Unii Europejskiej. Jej celem jest wzmocnienie odporności cyfrowej organizacji kluczowych dla funkcjonowania społeczeństwa i gospodarki. Obowiązki wynikające z NIS2 są daleko idące – obejmują nie tylko kwestie techniczne, ale także organizacyjne i personalne. Szczególnie istotna jest rola zarządów, które muszą aktywnie uczestniczyć w zapewnieniu zgodności z przepisami.
Dla polskich firm to nie tylko wyzwanie, ale i szansa – wdrożenie NIS2 może być impulsem do uporządkowania procesów, zwiększenia świadomości cyberzagrożeń i budowy rzeczywistej odporności na ataki. Przygotowania należy rozpocząć już teraz, ponieważ czasu do wdrożenia krajowego jest coraz mniej.