Dyrektywa NIS-2 – nowa era cyberbezpieczeństwa w Unii Europejskiej

W dobie coraz większych zagrożeń cybernetycznych Unia Europejska wprowadza przepisy, które mają poprawić poziom bezpieczeństwa cyfrowego na terenie wspólnoty. Jednym z kluczowych aktów prawnych w tym zakresie jest Dyrektywa NIS-2. Jeśli prowadzisz firmę lub odpowiadasz za bezpieczeństwo cyfrowe w instytucji, ten artykuł pomoże Ci zrozumieć, co oznaczają nowe regulacje i jak się do nich przygotować.

Dlaczego to takie ważne? W ciągu ostatnich lat liczba cyberataków wzrosła lawinowo, a ich konsekwencje są coraz poważniejsze – od zakłócenia dostaw energii, przez przerwy w działaniu usług zdrowotnych, po wycieki danych klientów firm. NIS-2 ma na celu lepszą ochronę nie tylko dużych korporacji, ale także mniejszych podmiotów działających w sektorach krytycznych.

Implementacja NIS-2 w Polsce 

Dyrektywa NIS-2 (Network and Information Security) stanowi zaktualizowaną wersję pierwotnej dyrektywy NIS, która została przyjęta w 2016 roku. Jej głównym celem jest podniesienie poziomu cyberbezpieczeństwa w Europie poprzez wprowadzenie bardziej zaawansowanych i kompleksowych przepisów, mających na celu wzmocnienie ochrony infrastruktury krytycznej oraz systemów informacyjnych.

W Polsce proces implementacji NIS-2 jest w trakcie realizacji. Termin na dostosowanie krajowych przepisów do wymagań dyrektywy upłynął w październiku 2024 roku. Obecnie trwają prace legislacyjne nad nowelizacją ustawy o cyberbezpieczeństwie, która uwzględni rozszerzony zakres podmiotów objętych regulacjami oraz nowe obowiązki wprowadzone przez NIS-2.

Zmiany te mają na celu zapewnienie zgodności polskiego systemu prawnego z unijnymi wymogami, a także wzmocnienie systemu zarządzania ryzykiem cybernetycznym w kluczowych sektorach gospodarki.

Kogo dotyczy dyrektywa NIS-2? 

Nowe przepisy obejmują szeroki wachlarz podmiotów zarówno z sektora publicznego, jak i prywatnego.

Wprowadzono podział na:

• podmioty kluczowe (np. dostawcy energii, transportu, opieki zdrowotnej);
• podmioty ważne (np. instytucje finansowe, firmy telekomunikacyjne, usługi pocztowe, produkcja i przetwarzanie żywności).

Kluczowym kryterium jest również wielkość przedsiębiorstwa – przepisy dotyczą głównie średnich i dużych firm, choć istnieją wyjątki obejmujące również mniejsze podmioty o istotnym znaczeniu dla bezpieczeństwa cyfrowego.

Dyrektywa NIS-2 obejmuje kluczowe obszary gospodarki, które odgrywają strategiczną rolę w zapewnieniu stabilności i bezpieczeństwa funkcjonowania społeczeństwa. W praktyce oznacza to, że przepisy dotyczą podmiotów operujących w obszarach o krytycznym znaczeniu, takich jak:

• energetyka – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłem i dystrybucją energii elektrycznej, gazu czy ropy naftowej;
• transport – operatorzy zarządzający infrastrukturą drogową, kolejową, portami i lotniskami;
• sektor zdrowotny – szpitale, placówki medyczne, laboratoria oraz dostawcy technologii medycznych;
• finanse i bankowość – instytucje finansowe, banki i firmy obsługujące płatności;
• dostawcy usług IT – firmy zajmujące się świadczeniem usług w chmurze, hostingiem czy zarządzaniem infrastrukturą IT;
• dostawcy wody pitnej i gospodarka wodno-ściekowa – przedsiębiorstwa odpowiedzialne za zapewnienie dostaw wody i oczyszczanie ścieków;
• administracja publiczna – urzędy państwowe i samorządowe, które przetwarzają dane i zapewniają kluczowe usługi administracyjne.

Wyłączenia

Dyrektywa wyklucza mikro i małe przedsiębiorstwa, z wyjątkiem sytuacji, gdy ich działalność ma kluczowe znaczenie dla infrastruktury krytycznej. 

• Na przykład, mała firma IT, która obsługuje systemy informatyczne szpitali, może zostać objęta regulacjami mimo niewielkich rozmiarów.

Kiedy NIS-2 obowiązuje mikro, małe i średnie przedsiębiorstwa? 

Choć wiele mikro i małych przedsiębiorstw nie podlega NIS-2, dyrektywa obejmuje je w następujących przypadkach:

• zakwalifikowanie jako podmiot kluczowy lub ważny – Ministerstwo Cyfryzacji może uznać niektóre przedsiębiorstwa za krytyczne dla funkcjonowania społeczeństwa lub gospodarki, np. w kontekście infrastruktury krytycznej;
• rola w łańcuchu dostaw – podmioty kluczowe i ważne muszą zadbać o bezpieczeństwo całego swojego łańcucha dostaw. Jeśli Twoja firma świadczy usługi lub dostarcza produkty dla takich podmiotów, będziesz musiał wdrożyć odpowiednie środki bezpieczeństwa, nawet jeśli nie jesteś bezpośrednio objęty dyrektywą.
• spełnianie kryteriów sektorowych – jeśli świadczysz usługi w sektorze objętym dyrektywą (np. infrastruktura cyfrowa, produkcja sprzętu medycznego), możesz zostać zakwalifikowany jako podmiot kluczowy lub ważny.

• Na przykład, przedsiębiorstwo zajmujące się dostarczaniem wody i oczyszczaniem ścieków w dużych miastach, którego działalność jest niezbędna do zapewnienia podstawowych usług publicznych.

Jak sprawdzić, czy dyrektywa dotyczy Twojej firmy? 

Jeżeli Twoja firma działa w jednym z wymienionych w załączniku I lub II do NIS-2 sektorów, a jej wielkość przekracza próg średniego przedsiębiorstwa (tj. zatrudnia ponad 50 pracowników lub osiąga roczny obrót powyżej 10 milionów euro/sumę bilansową powyżej 43 mln EUR), istnieje duże prawdopodobieństwo, że będzie musiała dostosować się do wymagań NIS-2.

Warto już teraz przeanalizować swój status i przygotować się na wdrożenie nowych regulacji.

Najważniejsze zmiany w NIS-2

Dyrektywa wprowadza kilka istotnych zmian w porównaniu do poprzednich regulacji w zakresie cyberbezpieczeństwa, mających na celu wzmocnienie ochrony przed zagrożeniami w Internecie. 

Rozszerzenie zakresu sektorowego 

Dyrektywa obejmuje szerszy zakres branż, nakładając obowiązki cyberbezpieczeństwa na nowe sektory. W efekcie, więcej przedsiębiorstw z różnych dziedzin gospodarki, które wcześniej nie były objęte takimi regulacjami, teraz musi spełniać określone standardy ochrony przed cyberzagrożeniami. Dotyczy to m.in. sektorów, które są kluczowe dla funkcjonowania gospodarki, takich jak energetyka, transport, zdrowie i finanse. 

Podział podmiotów na kluczowe i ważne 

Wprowadzenie rozróżnienia pomiędzy tzw. „podmiotami kluczowymi” i „ważnymi” oznacza, że różne przedsiębiorstwa będą zobowiązane do realizacji odmiennych obowiązków w zależności od tego, jak dużą rolę pełnią w gospodarce i jak duże mogą mieć potencjalne skutki ich ewentualne awarie. Kluczowe podmioty, np. w sektorze energetycznym, będą musiały spełniać bardziej rygorystyczne wymagania.

Zaostrzenie wymagań dotyczących cyberbezpieczeństwa 

Dyrektywa kładzie większy nacisk na ochronę całego łańcucha dostaw, nakładając obowiązki związane z monitorowaniem i zabezpieczaniem systemów informatycznych w sposób zapewniający ciągłość i bezpieczeństwo operacji. Wzmożono także wymogi dotyczące stosowania nowoczesnych metod obrony przed cyberatakami oraz wzmocniono obowiązki informacyjne wobec organów nadzorczych, w tym raportowania zagrożeń.

Nowe obowiązki raportowania incydentów

Firmy i instytucje muszą teraz szybko i skutecznie informować odpowiednie organy nadzorcze o cyberatakach, incydentach bezpieczeństwa oraz wszelkich zagrożeniach, które mogą wpływać na stabilność i funkcjonowanie ich systemów. Wymaga to wdrożenia skutecznych procedur wykrywania i zgłaszania takich incydentów w krótkim czasie po ich wystąpieniu.

Wysokie kary za naruszenie 

Zgodnie z nowymi regulacjami, przedsiębiorstwa mogą zostać ukarane wysokimi grzywnami finansowymi w przypadku nieprzestrzegania wymagań dotyczących cyberbezpieczeństwa. Kary te mają stanowić motywację do zwiększenia inwestycji w ochronę przed cyberzagrożeniami oraz do zapewnienia odpowiedniej reakcji na incydenty.

Te zmiany mają na celu stworzenie bardziej spójnego i skutecznego systemu zarządzania ryzykiem cybernetycznym w Unii Europejskiej, zapewniając większą ochronę zarówno dla przedsiębiorstw, jak i dla użytkowników końcowych.

Obowiązki przedsiębiorców 

Dyrektywa NIS-2 wprowadza szereg szczegółowych wymagań dotyczących zarządzania ryzykiem cybernetycznym i bezpieczeństwem IT, nakładając obowiązki na organizacje, które obejmuje.

• Dynamiczna analiza ryzyka – Organizacje objęte dyrektywą NIS-2 muszą przeprowadzać ciągłą i dynamiczną analizę ryzyka, uwzględniającą zarówno istniejące, jak i nowe zagrożenia cybernetyczne. Oznacza to, że powinny one na bieżąco oceniać i aktualizować swoje strategie ochrony przed cyberzagrożeniami, reagując na zmieniające się warunki, takie jak nowe typy ataków, zmieniające się techniki hakerów, czy nowe podatności w systemach.

• Polityka bezpieczeństwa systemów IT– Organizacje muszą wdrożyć politykę bezpieczeństwa systemów IT, a pomocna tutaj będzie międzynarodowa norma ISO 27001 dotycząca zarządzania bezpieczeństwem informacji. Norma ta określa zasady i wymagania dotyczące tworzenia, wdrażania i utrzymywania systemu zarządzania bezpieczeństwem informacji (ISMS), co pomaga w identyfikacji zagrożeń, implementacji odpowiednich środków zaradczych oraz monitorowaniu i doskonaleniu polityk bezpieczeństwa.

• Obsługa incydentów cybernetycznych – NIS-2 wprowadza obowiązek opracowania kompleksowego systemu zarządzania incydentami cybernetycznymi, obejmującego:
  • Zapobieganie – działania mające na celu ograniczenie ryzyka wystąpienia incydentów, takie jak aktualizowanie oprogramowania, zabezpieczanie systemów przed atakami, edukowanie pracowników;
  • Wykrywanie – wdrożenie mechanizmów umożliwiających szybkie wykrycie prób cyberataków, np. przez systemy monitorowania, wykrywania intruzów (IDS), logowanie zdarzeń;
  • Reagowanie – określenie procedur reagowania na ataki, w tym planów przywracania działalności po incydentach (BCP – Business Continuity Plan), komunikację z interesariuszami, czy przeprowadzanie analiz post-incydentowych w celu zapobiegania przyszłym zagrożeniom.

• Obowiązek raportowania incydentów do CSIRT – Firmy muszą szybko zgłaszać incydenty cybernetyczne do odpowiednich zespołów reagowania na incydenty komputerowe (CSIRT). Zgłoszenie musi nastąpić w ciągu 24 godzin od wykrycia poważnego incydentu, który może wpłynąć na ciągłość działania organizacji. Obowiązek ten ma na celu zapewnienie szybszej reakcji i koordynacji działań w sytuacjach kryzysowych oraz umożliwienie szerszej analizy zagrożeń na poziomie krajowym i europejskim.

• Dbałość o bezpieczeństwo łańcucha dostaw – Organizacje muszą zwiększyć kontrolę nad podwykonawcami i dostawcami usług cyfrowych, aby zapewnić, że cały łańcuch dostaw IT (od dostawców sprzętu po zewnętrzne firmy świadczące usługi IT) spełnia wymagania dotyczące cyberbezpieczeństwa. Oznacza to monitorowanie, ocenianie i kontrolowanie ryzyk związanych z partnerami zewnętrznymi oraz wdrażanie odpowiednich procedur zapewniających bezpieczeństwo informacji i systemów w ramach całego ekosystemu dostawców.

Co to oznacza w praktyce? 

Każda organizacja musi opracować polityki i procedury umożliwiające identyfikację, ocenę oraz minimalizację ryzyka związanego z cyberzagrożeniami. Wymaga to wprowadzenia strategii zarządzania ryzykiem, która obejmuje zarówno prewencję, jak i reagowanie na zmieniające się warunki oraz incydenty.

Dodatkowo, firmy muszą zgłaszać każdy poważny incydent cybernetyczny, który może wpłynąć na ciągłość działania ich usług, do odpowiednich organów nadzorczych w ciągu 24 godzin. To oznacza, że organizacje muszą mieć dobrze opracowane procedury zgłaszania i komunikacji z instytucjami nadzorczymi.

Organizacje są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, które umożliwią zapobieganie, wykrywanie oraz reagowanie na cyberataki.

Może to obejmować takie działania jak:

• instalowanie zapór ogniowych (firewall);
• używanie oprogramowania do wykrywania intruzów;
• regularne audyty bezpieczeństwa;
• szkolenia pracowników z zakresu cyberbezpieczeństwa.

Co grozi za nieprzestrzeganie przepisów? 

W przypadku nieprzestrzegania przepisów NIS-2, przedsiębiorstwa mogą zostać ukarane wysokimi grzywnami, które w zależności od powagi wykroczenia mogą wynosić nawet kilka milionów euro. Wysokość grzywny zależy od rodzaju naruszenia, np. braku odpowiedniego zarządzania ryzykiem, niezgłoszenia incydentu w wymaganym czasie czy niewdrożenia odpowiednich środków ochrony cybernetycznej.

Dla większych firm, które generują wyższe przychody, kary mogą być również wyrażone jako procent rocznego obrotu. Taki model kary ma na celu zapewnienie, że sankcje będą miały rzeczywisty wpływ na działalność firm, szczególnie tych o dużym znaczeniu gospodarczym. Na przykład, w przypadku dużych przedsiębiorstw kary mogą sięgać do 2% rocznego obrotu

Jak przygotować się do wdrożenia NIS-2? 

Wdrożenie nowych przepisów może wydawać się trudner, ale istnieje kilka kroków, które pomogą Ci się przygotować: 

• Audyt cyberbezpieczeństwa – sprawdź, jakie zagrożenia występują w Twojej firmie i gdzie są luki w zabezpieczeniach;
• Szkolenia dla pracowników – upewnij się, że każdy w firmie wie, jak rozpoznawać i reagować na cyberzagrożenia.
• Procedury raportowania incydentów – opracuj plan, który pozwoli Ci szybko i skutecznie zgłaszać incydenty do odpowiednich organów.
• Współpraca z ekspertami – rozważ skorzystanie z pomocy specjalistów ds. cyberbezpieczeństwa, którzy pomogą Ci dostosować się do wymogów NIS-2.

Co dalej? 

Jeśli masz wątpliwości, skontaktuj się z kancelarią prawną lub ekspertem ds. cyberbezpieczeństwa, aby dokładnie przeanalizować swoje obowiązki.

Warto już teraz rozpocząć analizę ryzyka, aktualizację polityk bezpieczeństwa oraz wdrożenie systemów monitorowania i reagowania na incydenty. Brak zgodności z dyrektywą może skutkować nie tylko karami finansowymi, ale także utratą zaufania klientów i partnerów biznesowych.

Podsumowanie 

Dyrektywa NIS-2 to krok w kierunku zwiększenia bezpieczeństwa cyfrowego w Europie. Choć wdrożenie nowych regulacji może wydawać się wyzwaniem, warto potraktować je jako szansę na poprawę bezpieczeństwa swojej organizacji i zbudowanie przewagi konkurencyjnej.

Chcesz wiedzieć więcej? Skontaktuj się z naszą kancelarią – wspólnie zadbamy o cyberbezpieczeństwo Twojej organizacji.