Rozwój technologiczny przedsiębiorstw powoduje również wzrost zagrożenia cybernetycznego i stwarza większe możliwości dla hakerów oraz osób zainteresowanych nielegalnym pozyskiwaniem danych.
Dyrektywa NIS 2 (Network and Information System Directive 2), której przepisy obowiązują od 17 października 2024 r., to regulacja prawna mająca na celu zapewnienie wysokiego, jednolitego poziomu cyberbezpieczeństwa i wzmocnienia współpracy międzynarodowej w zwalczaniu cyberataków w UE. Zmienia dyrektywę NIS 1 z 2016 r., wprowadzając rygorystyczne przepisy dotyczące zarządzania ryzykiem i raportowania incydentów, rozszerzając zakres o kolejne branże oraz nakładając surowe kary za nieprzestrzeganie przepisów.
Nowe przepisy obowiązują we wszystkich krajach UE od 17 października 2024 r., nawet w przypadku braku krajowych wytycznych.
Dyrektywa NIS 2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, dzieląc je na podmioty kluczowe i podmioty ważne.
Podmioty kluczowe (essential entities) –(zał. nr 1 dyrektywy):energetyka, transport, bankowość, infrastruktura rynków finansowych,opieka zdrowotna (w tym podmioty produkujące leki, wyroby medyczne oraz oczywiście szpitale i placówki medyczne), sektor wody pitnej, ścieki, infrastruktura cyfrowa (m.in. dostawcy usług chmurowych, ośrodki przetwarzania danych, dostawcy punktu wymiany ruchu internetowego) zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.
Podmioty ważne (important entities) – (zał. nr 2 dyrektywy): usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja, w bardzo szerokim zakresie, m.in.: produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, produkcja pojazdów samochodowych, przyczep i naczep, produkcja pozostałego sprzętu transportowego, dostawcy usług cyfrowych, organizacje badawcze.
Prognozy wskazują, że zobowiązanych do dostosowania swoich standardów bezpieczeństwa do nowych przepisów będzie w Polsce kilka tysięcy firm. Przepisy dotyczą podmiotów publicznych jak też średnich i dużych przedsiębiorstw z sektora prywatnego na terenie UE.
Czy moja firma jest objęta obowiązkiem wdrożenia i stosowania NIS 2?
- Podmiot, który zatrudnia powyżej 50 pracowników, ale ma obroty poniżej 10 mln euro,
- Podmiot, który nie zatrudnia 50 pracowników, ale posiada obroty 10 mln euro,
- Klasyfikacja podmiotów jako ważne czy kluczowe jest dokonywana nie tylko na podstawie liczby pracowników czy wielkości obrotów, lecz także na podstawie znaczenia świadczonych usług (sektory). Uwaga: NIS 2przyjmuje zasadę samookreślenia podmiotu w zakresie przynależności do określonego sektora na podstawie faktycznej działalności spółki, a nie wyłącznie na podstawie jej kodu PKD.
Jakie działania musi podjąć firma w związku z NIS 2?
- Przeprowadzić audyt systemu informatycznego (audyt cyberbezpieczeństwa), który umożliwi określenie poziomu bezpieczeństwa i zgodności z wymaganiami NIS 2, a także wskaże obszary wymagające poprawy,
- Opracować plan ciągłości działania, tzn. reagowania na incydenty:
- stworzyć szczegółowe wytyczne dla personelu dotyczące oceny ryzyka,
- prowadzić analizę kosztów/korzyści dla podjętego środka ochrony,
- przygotować listę aktywów wraz z przypisanymi do nich środkami ochrony,
- dokumentować decyzje dotyczące działań.
Kary za naruszenie NIS 2
Dyrektywa NIS 2 nakłada surowe kary za nieprzestrzeganie przepisów:
- Podmioty kluczowe – co najmniej 10 mln euro lub 2% łącznego rocznego obrotu (zawsze większa kwota),
- Podmioty ważne – co najmniej 7 mln euro lub 1,4% łącznego rocznego obrotu (zawsze większa kwota).
Dyrektywa przewiduje możliwość nakładania okresowych kar pieniężnych, aby wymusić przestrzeganie przepisów.
Podsumowanie. W Polsce wdrożenie dyrektywy NIS 2 będzie regulowane przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która powinna być uchwalona w 2025 r. Daty ostatnich modyfikacji przygotowanych przez Ministerstwo Cyfryzacji to 18 i 23 grudnia 2024 r.
Wdrożenie NIS 2 to nie tylko spełnienie wymogów formalnoprawnych, ale przede wszystkim budowanie cyberodporności i bezpieczeństwa biznesu. Niepokojący jest fakt, że co czwarta firma nie wie, czy podlega dyrektywie NIS 2! Zamiast czekać na krajowego ustawodawcę, warto przygotować się wcześniej.
Teresa Grabowska
TG-Doradztwo i Zarządzanie
