EN
EN
luty 2025

Dyrektywa NIS-2 – nowa era cyberbezpieczeństwa w Unii Europejskiej

8 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Spis treści

Dyrektywa NIS-2 – co oznacza dla Twojej firmy i jak się przygotować

Dyrektywa NIS-2 rozszerza obowiązki z zakresu cyberbezpieczeństwa na nowe sektory i więcej podmiotów. Polska nie wdrożyła przepisów w terminie (październik 2024), ale wymogi dyrektywy już teraz wpływają na to, jak powinieneś zarządzać bezpieczeństwem IT, raportować incydenty i kontrolować łańcuch dostaw. Poniżej znajdziesz konkretne informacje: kogo dotyczą przepisy, jakie obowiązki nakładają i co zrobić, żeby się dostosować.

Dlaczego NIS-2 ma znaczenie dla Twojego biznesu

Liczba cyberataków rośnie lawinowo. Ich skutki dotykają realnych procesów – od zakłócenia dostaw energii, przez przerwy w usługach zdrowotnych, po wycieki danych klientów. NIS-2 odpowiada na te zagrożenia, obejmując regulacjami nie tylko duże korporacje, ale też mniejsze podmioty działające w sektorach wrażliwych na ataki.

Implementacja NIS-2 w Polsce

Dyrektywa NIS-2 (Network and Information Security) to zaktualizowana wersja pierwotnej dyrektywy NIS z 2016 roku. Jej cel: podniesienie poziomu cyberbezpieczeństwa w Europie przez rozszerzenie zakresu regulacji i zaostrzenie obowiązków.

Aktualny stan wdrożenia

  • Termin na implementację upłynął w październiku 2024 roku.
  • Polska nie dotrzymała tego terminu – nowelizacja ustawy o cyberbezpieczeństwie jest nadal w toku.
  • Oznacza to, że Polska pozostaje w opóźnieniu względem unijnych wymogów, ale kierunek zmian jest przesądzony.

Niezależnie od stanu polskiej legislacji – warto dostosować organizację już teraz, zanim przepisy wejdą w życie.

Kogo dotyczy dyrektywa NIS-2

Przepisy obejmują szeroki zakres podmiotów z sektora publicznego i prywatnego. Dyrektywa wprowadza podział na dwie kategorie:

  • Podmioty kluczowe – np. dostawcy energii, transportu, opieki zdrowotnej.
  • Podmioty ważne – np. instytucje finansowe, firmy telekomunikacyjne, usługi pocztowe, produkcja i przetwarzanie żywności.

Przepisy dotyczą głównie średnich i dużych firm, ale obejmują też mniejsze podmioty, jeśli ich działalność ma znaczenie dla bezpieczeństwa cyfrowego.

Sektory objęte regulacją

  1. Energetyka – wytwarzanie, przesył i dystrybucja energii elektrycznej, gazu, ropy naftowej.
  2. Transport – operatorzy infrastruktury drogowej, kolejowej, portów i lotnisk.
  3. Sektor zdrowotny – szpitale, placówki medyczne, laboratoria, dostawcy technologii medycznych.
  4. Finanse i bankowość – instytucje finansowe, banki, firmy obsługujące płatności.
  5. Dostawcy usług IT – usługi w chmurze, hosting, zarządzanie infrastrukturą IT.
  6. Dostawcy wody pitnej i gospodarka wodno-ściekowa – przedsiębiorstwa odpowiedzialne za dostawy wody i oczyszczanie ścieków.
  7. Administracja publiczna – urzędy państwowe i samorządowe przetwarzające dane i zapewniające usługi administracyjne.

Wyłączenia

Dyrektywa wyklucza mikro i małe przedsiębiorstwa – z jednym wyjątkiem: jeśli ich działalność ma znaczenie dla infrastruktury krytycznej. Przykład: mała firma IT obsługująca systemy informatyczne szpitali może zostać objęta regulacjami mimo niewielkich rozmiarów.

Kiedy NIS-2 obowiązuje mikro, małe i średnie przedsiębiorstwa

Choć wiele mniejszych firm nie podlega NIS-2 bezpośrednio, dyrektywa obejmuje je w trzech sytuacjach:

  1. Zakwalifikowanie jako podmiot kluczowy lub ważny – Ministerstwo Cyfryzacji może uznać przedsiębiorstwo za niezbędne dla funkcjonowania społeczeństwa lub gospodarki (np. w kontekście infrastruktury krytycznej).
  2. Rola w łańcuchu dostaw – jeśli Twoja firma świadczy usługi lub dostarcza produkty dla podmiotów kluczowych lub ważnych, musisz wdrożyć odpowiednie środki bezpieczeństwa, nawet jeśli nie jesteś objęty dyrektywą bezpośrednio.
  3. Spełnianie kryteriów sektorowych – jeśli świadczysz usługi w sektorze objętym dyrektywą (np. infrastruktura cyfrowa, produkcja sprzętu medycznego), możesz zostać zakwalifikowany jako podmiot kluczowy lub ważny.

Przykład: przedsiębiorstwo dostarczające wodę i oczyszczające ścieki w dużych miastach – jego działalność jest niezbędna do zapewnienia podstawowych usług publicznych.

Jak sprawdzić, czy dyrektywa dotyczy Twojej firmy

Sprawdź trzy rzeczy:

  1. Sektor – czy Twoja firma działa w jednym z sektorów wymienionych w załączniku I lub II do NIS-2.
  2. Wielkość – czy zatrudniasz ponad 50 pracowników lub osiągasz roczny obrót powyżej 10 mln EUR / sumę bilansową powyżej 43 mln EUR.
  3. Rola w łańcuchu dostaw – czy świadczysz usługi dla podmiotów kluczowych lub ważnych.

Jeśli spełniasz warunek 1 i 2 – z dużym prawdopodobieństwem musisz dostosować się do NIS-2. Jeśli spełniasz warunek 3 – sprawdź, czy Twoi kontrahenci nie wymagają od Ciebie wdrożenia określonych standardów bezpieczeństwa.

Najważniejsze zmiany wprowadzone przez NIS-2

Rozszerzenie zakresu sektorowego

NIS-2 nakłada obowiązki cyberbezpieczeństwa na branże, które wcześniej nie były objęte regulacjami. Więcej firm z energetyki, transportu, zdrowia i finansów musi spełniać określone standardy ochrony.

Podział podmiotów na kluczowe i ważne

Podmioty kluczowe (np. w sektorze energetycznym) muszą spełniać bardziej rygorystyczne wymagania. Podmioty ważne mają łagodniejszy reżim, ale nadal podlegają obowiązkom w zakresie zarządzania ryzykiem i raportowania.

Zaostrzenie wymagań dotyczących cyberbezpieczeństwa

  • Większy nacisk na ochronę całego łańcucha dostaw.
  • Obowiązek monitorowania i zabezpieczania systemów IT w sposób zapewniający ciągłość operacji.
  • Wymóg stosowania nowoczesnych metod obrony przed cyberatakami.
  • Wzmocnione obowiązki informacyjne wobec organów nadzorczych.

Nowe obowiązki raportowania incydentów

Firmy i instytucje muszą szybko informować organy nadzorcze o cyberatakach i zagrożeniach wpływających na stabilność ich systemów. Wymaga to wdrożenia procedur wykrywania i zgłaszania incydentów w krótkim czasie po ich wystąpieniu.

Wysokie kary za naruszenia

Przedsiębiorstwa mogą zostać ukarane grzywnami sięgającymi nawet kilku milionów euro. Dla dużych firm kary mogą być wyrażone jako do 2% rocznego obrotu.

Obowiązki przedsiębiorców wynikające z NIS-2

Dynamiczna analiza ryzyka

Przeprowadzaj ciągłą analizę ryzyka uwzględniającą zarówno obecne, jak i nowe zagrożenia. Na bieżąco aktualizuj strategie ochrony – reaguj na nowe typy ataków, zmieniające się techniki hakerów i nowe podatności w systemach.

Polityka bezpieczeństwa systemów IT

Wdróż politykę bezpieczeństwa systemów IT. Pomocna jest norma ISO 27001 – określa zasady tworzenia, wdrażania i utrzymywania systemu zarządzania bezpieczeństwem informacji (ISMS), co pomaga w identyfikacji zagrożeń i implementacji środków zaradczych.

Obsługa incydentów cybernetycznych

Opracuj system zarządzania incydentami obejmujący trzy poziomy:

  1. Zapobieganie – aktualizowanie oprogramowania, zabezpieczanie systemów, edukowanie pracowników.
  2. Wykrywanie – systemy monitorowania, wykrywanie intruzów (IDS), logowanie zdarzeń.
  3. Reagowanie – plany przywracania działalności (BCP – Business Continuity Plan), komunikacja z interesariuszami, analizy post-incydentowe.

Raportowanie incydentów do CSIRT

Zgłaszaj incydenty cybernetyczne do zespołów reagowania na incydenty komputerowe (CSIRT – zespół odpowiedzialny za koordynację reakcji na ataki) w ciągu 24 godzin od wykrycia poważnego incydentu wpływającego na ciągłość działania organizacji.

Bezpieczeństwo łańcucha dostaw

Zwiększ kontrolę nad podwykonawcami i dostawcami usług cyfrowych. Monitoruj, oceniaj i kontroluj ryzyka związane z partnerami zewnętrznymi – od dostawców sprzętu po firmy świadczące usługi IT. Wdróż procedury zapewniające bezpieczeństwo informacji w całym ekosystemie dostawców.

Co to oznacza w praktyce

Każda organizacja objęta NIS-2 musi podjąć cztery grupy działań:

  1. Opracować polityki i procedury umożliwiające identyfikację, ocenę i minimalizację ryzyka związanego z cyberzagrożeniami.
  2. Wdrożyć procedury raportowania – zgłaszanie każdego poważnego incydentu do organów nadzorczych w ciągu 24 godzin.
  3. Zastosować środki techniczne, takie jak:
  4. Wdrożyć środki organizacyjne – strategię zarządzania ryzykiem obejmującą zarówno prewencję, jak i reagowanie na incydenty.

Co grozi za nieprzestrzeganie przepisów

  • Grzywny finansowe sięgające nawet kilku milionów euro, w zależności od rodzaju naruszenia (brak zarządzania ryzykiem, niezgłoszenie incydentu w terminie, niewdrożenie środków ochrony).
  • Kary wyrażone jako procent obrotu – dla dużych firm mogą wynosić do 2% rocznego obrotu.
  • Utrata zaufania klientów i partnerów biznesowych.

Jak dostosować się do wymogów NIS-2 – plan działania

  1. Przeprowadź audyt cyberbezpieczeństwa – sprawdź, jakie zagrożenia występują w Twojej firmie i gdzie są luki w zabezpieczeniach.
  2. Przeszkol pracowników – upewnij się, że każdy w firmie wie, jak rozpoznawać i reagować na cyberzagrożenia.
  3. **Opracuj **procedury raportowania incydentów*** – przygotuj plan, który pozwoli Ci zgłaszać incydenty do odpowiednich organów w ciągu 24 godzin.
  4. Skorzystaj z pomocy specjalistów – rozważ współpracę z ekspertami ds. cyberbezpieczeństwa, którzy pomogą Ci dostosować organizację do wymogów NIS-2.

Co zrobić teraz

Unijny termin implementacji NIS-2 minął w październiku 2024 roku. Nawet jeśli polskie przepisy nie zostały jeszcze uchwalone, kierunek zmian jest przesądzony. Brak przygotowania oznacza ryzyko kar finansowych, ale też ryzyko utraty zaufania kontrahentów i klientów.

Jeśli masz wątpliwości co do zakresu swoich obowiązków:

  1. Zweryfikuj, czy Twoja firma spełnia kryteria objęcia dyrektywą.
  2. Przeprowadź analizę ryzyka i zaktualizuj polityki bezpieczeństwa.
  3. Wdróż systemy monitorowania i reagowania na incydenty.
  4. Skontaktuj się z kancelarią prawną lub ekspertem ds. cyberbezpieczeństwa, żeby przeanalizować sytuację Twojej organizacji.

Chcesz wiedzieć więcej? Skontaktuj się z naszą kancelarią – pomożemy Ci przygotować organizację do wymogów NIS-2.

Często zadawane pytania

Jak sprawdzić, czy dyrektywa NIS-2 dotyczy mojej firmy?
Sprawdź trzy rzeczy: czy działasz w sektorze wymienionym w załączniku I lub II do NIS-2 (np. energetyka, transport, zdrowie, finanse, usługi IT), czy zatrudniasz ponad 50 pracowników lub osiągasz roczny obrót powyżej 10 mln EUR albo sumę bilansową powyżej 43 mln EUR, oraz czy świadczysz usługi dla podmiotów kluczowych lub ważnych. Jeśli spełniasz dwa pierwsze warunki – z dużym prawdopodobieństwem musisz dostosować się do NIS-2. Jeśli spełniasz trzeci – sprawdź, czy Twoi kontrahenci nie wymagają od Ciebie wdrożenia określonych standardów bezpieczeństwa.

Czy mała albo średnia firma może podlegać NIS-2, nawet jeśli nie jest dużą organizacją?
Tak, w trzech przypadkach: gdy Ministerstwo Cyfryzacji zakwalifikuje firmę jako podmiot kluczowy lub ważny ze względu na jej znaczenie dla infrastruktury krytycznej, gdy firma świadczy usługi lub dostarcza produkty dla podmiotów kluczowych lub ważnych (rola w łańcuchu dostaw), albo gdy spełnia kryteria sektorowe – np. działa w obszarze infrastruktury cyfrowej lub produkcji sprzętu medycznego. Przykład z artykułu: mała firma IT obsługująca systemy informatyczne szpitali może zostać objęta regulacjami mimo niewielkich rozmiarów.

Jakie obowiązki nakłada NIS-2 na firmy w praktyce?
NIS-2 wymaga od firmy czterech grup działań: opracowania polityk i procedur zarządzania ryzykiem cybernetycznym, wdrożenia procedur raportowania poważnych incydentów do CSIRT w ciągu 24 godzin, zastosowania środków technicznych (zapory ogniowe, systemy wykrywania intruzów, regularne audyty, szkolenia pracowników) oraz wdrożenia środków organizacyjnych obejmujących prewencję i reagowanie na incydenty. Osobnym obowiązkiem jest kontrola bezpieczeństwa łańcucha dostaw – musisz monitorować i oceniać ryzyka związane z podwykonawcami i dostawcami usług cyfrowych.

W jakim terminie trzeba zgłosić poważny incydent do CSIRT według NIS-2?
Poważny incydent wpływający na ciągłość działania organizacji musisz zgłosić do CSIRT w ciągu 24 godzin od jego wykrycia. To wymaga wcześniejszego przygotowania procedur wykrywania i zgłaszania incydentów, żeby Twoja firma była w stanie dotrzymać tego terminu.

Co grozi firmie za brak zgodności z NIS-2?
Grożą grzywny finansowe sięgające nawet kilku milionów euro, a dla dużych firm kary mogą wynosić do 2% rocznego obrotu – w zależności od rodzaju naruszenia (brak zarządzania ryzykiem, niezgłoszenie incydentu w terminie, niewdrożenie środków ochrony). Poza sankcjami finansowymi realne jest ryzyko utraty zaufania klientów i partnerów biznesowych, co przekłada się bezpośrednio na pozycję rynkową firmy.

Zostaw numer telefonu
Odezwiemy się najszybciej jak to możliwe.


    Administratorem Twoich danych osobowych jest Sawaryn i Partnerzy sp. k. z siedzibą w Warszawie (00-040), przy ul. Warecka 4/6 lok. 6. Twoje dane osobowe będą przetwarzane w celu odpowiedzi na przesłane zapytanie oraz archiwizacji formularza. Więcej informacji znajdziesz w naszym
    Regulaminie
    i
    Polityce Prywatności.



    Udostępnij artykuł:
    Generic selectors
    Exact matches only
    Search in title
    Search in content
    Post Type Selectors
    Spis treści
    Proponowane artykuły
    Pracownicze Plany Kapitałowe – od kiedy obowiązują, kto ma obowiązek wprowadzić PPK
    PPK to wprowadzony przez państwo program systematycznego oszczędzania na emeryturę....
    Przełomowe zmiany w ustawie o prawie zamówień publicznych
    Początek roku 2021 stanowi od dawna zapowiadany moment wejścia w...
    Praca zdalna – nowe przepisy dla pracodawcy i pracownika
    W związku z trwającą pandemia i powszechną zmianą sposobu pracy...
    1 28 29 30 31 32 33