Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii – czyli tzw. NIS 2 – to odpowiedź Unii Europejskiej na rosnące cyberzagrożenia, przestarzałe przepisy i nierówny poziom zabezpieczeń w różnych krajach członkowskich.
Nowe przepisy zastępują obowiązującą od 2016 roku dyrektywę NIS i mają na celu wzmocnienie odporności europejskich organizacji na incydenty cyberbezpieczeństwa – zarówno w sektorze publicznym, jak i prywatnym.
Dotychczasowe regulacje nie nadążały za tempem cyfryzacji i ewolucją zagrożeń. Ataki ransomware, szpiegostwo przemysłowe, próby destabilizacji usług publicznych – to tylko niektóre z wyzwań ostatnich lat. Dyrektywa NIS 2 wprowadza spójne i znacznie bardziej wymagające ramy cyberbezpieczeństwa dla kluczowych podmiotów w UE.
Zakres NIS 2 jest znacznie szerszy niż poprzednia wersja:
🔸 Podmioty kluczowe – np. sektor energetyczny, transportowy, zdrowotny, infrastruktura cyfrowa, bankowość, administracja publiczna, woda, zarządzanie odpadami.
🔸 Podmioty ważne – np. produkcja wybranych towarów (urządzenia medyczne, chemikalia), usługi pocztowe i kurierskie, zarządzanie infrastrukturą cyfrową, przetwarzanie danych.
Podmioty kwalifikowane są nie tylko na podstawie sektora, ale też wielkości – co do zasady dyrektywa dotyczy organizacji zatrudniających co najmniej 50 pracowników lub osiągających roczny obrót powyżej 10 mln euro, z pewnymi wyjątkami.
Zarządzanie ryzykiem
Organizacje będą musiały wdrożyć środki techniczne, operacyjne i organizacyjne w zakresie:
zarządzania incydentami,
ciągłości działania,
bezpieczeństwa łańcucha dostaw,
polityki dostępu i uwierzytelniania,
bezpieczeństwa pracowników i szkoleń.
Zgłaszanie incydentów
Podmioty będą zobowiązane zgłaszać poważne incydenty do właściwego CSIRT-u lub organu w ciągu:
24 godzin – zgłoszenie wstępne,
72 godzin – zgłoszenie szczegółowe,
1 miesiąc – raport końcowy.
Odpowiedzialność kadry zarządzającej
Zarządy i kierownictwo organizacji nie mogą już delegować odpowiedzialności za cyberbezpieczeństwo wyłącznie na działy IT. Będą zobowiązani m.in. do udziału w szkoleniach i nadzoru nad wdrażaniem środków bezpieczeństwa.
Audyty i kontrole
Organy krajowe będą mogły prowadzić kontrole, nakładać kary administracyjne (również osobiste!) oraz w skrajnych przypadkach – zakazywać osobom zarządzającym pełnienia funkcji.
Państwa członkowskie mają czas do 17 października 2024 r. na wdrożenie przepisów NIS 2 do prawa krajowego. W Polsce trwają prace nad nową ustawą.
Warto jednak działać już teraz – wiele obowiązków nie wymaga czekania na przepisy krajowe. Im wcześniej organizacja przygotuje się do wymogów NIS 2, tym mniejsze ryzyko finansowe, operacyjne i reputacyjne.
Centrum Audytu Bezpieczeństwa i Platforma Cyberbezpieczeństwa wspierają organizacje we wdrażaniu wymogów NIS 2 – od analizy ryzyka po szkolenia, polityki, procedury i testy odporności.
Skontaktuj się z nami, jeśli chcesz sprawdzić, czy Twoja organizacja jest gotowa na NIS 2 – zanim zrobi to regulator.
881 256 247
