Spis Treści
2
3

W 2023 roku cyberataki w Europie osiągnęły rekordowy poziom zaawansowania. Ransomware, ataki na łańcuchy dostaw i zagrożenia wspierane przez sztuczną inteligencję stały się codziennością dla firm działających w sektorach krytycznych. Unia Europejska odpowiedziała na te wyzwania, wprowadzając dyrektywę NIS2 – najbardziej kompleksowe regulacje dotyczące cyberbezpieczeństwa w historii Wspólnoty.

Ten przewodnik przeprowadzi Cię przez wszystkie kluczowe aspekty dyrektywy: od tego, kiedy zaczną obowiązywać nowe przepisy, przez identyfikację podmiotów objętych regulacją, aż po konkretne obowiązki i sankcje za ich niedopełnienie.

Wprowadzenie do dyrektywy NIS2

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – w skrócie NIS2 – to pierwszy tak kompleksowy akt prawny regulujący bezpieczeństwo sieci i systemów informatycznych w całej Unii. Dyrektywa została przyjęta 14 grudnia 2022 roku i weszła w życie 16 stycznia 2023 roku, zastępując wcześniejszą dyrektywę NIS1 z 2016 roku.

Państwa członkowskie UE miały obowiązek wdrożyć postanowień dyrektywy do prawa krajowego najpóźniej do 17 października 2024 roku, u nas jeszcze to nie nastąpiło. W Polsce wprowadzenie postanowień dyrektywy odbywa się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), której projekt jest obecnie procedowany. To właśnie ta ustawa określi szczegółowe terminy i procedury dla polskich przedsiębiorców.

Najważniejsze informacje dla firm w Polsce: Dyrektywa NIS2 obejmuje podmioty kluczowe i ważne z 18 sektorów krytycznych. Firmy te będą musiały wdrożyć środki zarządzania ryzykiem w cyberbezpieczeństwie, zgłaszać poważne incydenty w ciągu 24 godzin oraz przejść regularne audyty bezpieczeństwa. Za niedopełnienie obowiązków grożą kary do 10 milionów EUR lub 2% rocznego obrotu globalnego. Zarządy firm ponoszą odpowiedzialność za wdrożenie wymogów.

Dowiedz się więcej
Dowiedz się więcej

Od kiedy firmy w Polsce będą miały nowe obowiązki z NIS2

Wielu przedsiębiorców myli trzy kluczowe daty związane z NIS2. Wejście w życie dyrektywy na poziomie UE (16 stycznia 2023) to moment, od którego państwa członkowskie muszą rozpocząć prace legislacyjne. Termin transpozycji (17 października 2024) to ostateczna data, do której prawo krajowe powinno być gotowe. Jednak faktyczne obowiązki dla firm zaczną obowiązywać dopiero po wejściu w życie polskiej ustawy wdrażającej NIS2.

Polska ustawa – nowelizacja ustawy o KSC – jest obecnie w fazie intensywnych prac legislacyjnych. Przewidywany termin wejścia w życie to pierwsza połowa 2026 roku, 19 lutego 2026 r. Prezydent podpisał nowelę ustawy o KSC, skierował także wniosek do Trybunału Konstytucyjnego o dokonanie kontroli następczej (po podpisaniu) jej przepisów. Z racji miesięcznego terminu od dnia ogłoszenia ustawy – można spodziewać się jej wejścia w życie już pod koniec marca 2026 r.To oznacza, że firmy mają bardzo mało czasu na przygotowanie i nie powinny zwlekać z działaniami.

Kluczowe daty i terminy:

    • 16 stycznia 2023 – wejście w życie dyrektywy NIS2 na poziomie UE
    • 17 października 2024 – termin transpozycji do prawa krajowego dla wszystkich państw członkowskich
    • Marzec 2026 – przewidywane wejście w życie polskiej ustawy wdrażającej
    • Określone w ustawie – termin na samoidentyfikację jako podmiot kluczowy lub ważny
    • Określone w ustawie – termin na rejestrację w krajowym wykazie podmiotów
    • Okresy przejściowe – czas na pełne wdrożenie środków bezpieczeństwa (zazwyczaj 6-12 miesięcy od rejestracji)

Wobec zbliżającego się wejścia w życie ustawy krajowej, firmy z sektorów wskazanych w załącznikach NIS2 powinny już teraz rozpocząć przygotowania. Oznacza to przeprowadzenie analizy luki, inwentaryzację systemów informatycznych oraz opracowanie wstępnego planu działań. Podmioty, które zaczną wcześniej, unikną presji czasowej i potencjalnych kar za opóźnienia.

Jakie sektory obejmuje NIS2

Dyrektywa NIS2 znacząco rozszerza zakres sektorów objętych regulacją w porównaniu do poprzedniej NIS1. Nowe przepisy rozróżniają dwie kategorie: sektory o wysokiej krytyczności (załącznik I) oraz inne sektory krytyczne (załącznik II). Klasyfikacja sektora to punkt wyjścia do oceny, czy dana firma stanie się podmiotem kluczowym lub ważnym.

Sektory kluczowe (załącznik I):

    • Energetyka – elektroenergetyka, gaz ziemny, ropa naftowa, ciepłownictwo, wodór
    • Transport – lotniczy, kolejowy, morski, drogowy, śródlądowy
    • Bankowość i infrastruktura rynków finansowych
    • Opieka zdrowotna – szpitale, laboratoria, producenci wyrobów medycznych, producenci farmaceutyków
    • Woda pitna – operatorzy ujęć i sieci wodociągowych
    • Ścieki – operatorzy oczyszczalni i systemów kanalizacyjnych
    • Infrastruktura cyfrowa – dostawcy usług DNS, dostawcy usług zaufania, rejestry domen, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści
    • Zarządzanie usługami ICT (B2B)
    • Podmioty administracji publicznej – jednostki administracji publicznej na poziomie centralnym i regionalnym
    • Przestrzeń kosmiczna – operatorzy naziemnej infrastruktury kosmicznej

Sektory ważne (załącznik II):

    • Usługi pocztowe i kurierskie – świadczenie usług pocztowych, w tym dostawcy usług kurierskich
    • Gospodarowanie odpadami – firmy zajmujące się zbieraniem, przetwarzaniem i utylizacją odpadów
    • Produkcja, wytwarzanie i dystrybucja chemikaliów
    • Sektor żywności – produkcja, przetwórstwo i dystrybucja żywności
    • Produkcja wyrobów – w wybranych branżach: urządzenia medyczne, komputery, elektronika, maszyny, pojazdy
    • Dostawcy usług cyfrowych – platformy internetowe, wyszukiwarki, sieci społecznościowe
    • Badania naukowe – jednostki prowadzące badania o strategicznym znaczeniu

Warto pamiętać, że Polska może dodatkowo rozszerzyć listę sektorów objętych ochroną w ustawie krajowej. Organy krajowe mają uprawnienia do włączenia konkretnych rodzajów usług lub podmiotów administracji publicznej, które uznają za istotne dla bezpieczeństwa publicznego lub ciągłości działania państwa.

Dyrektywa NIS2 – nowe przepisy UE dotyczące cyberbezpieczeństwa firm i instytucji

Które firmy są objęte NIS2 – podmioty kluczowe i ważne

Dyrektywa NIS2 wprowadza mechanizm „size-cap”, który określa, które firmy podlegają regulacji. Co do zasady objęte są średnie przedsiębiorstwa i duże firmy z sektorów krytycznych. Średnie przedsiębiorstwa to podmioty zatrudniające co najmniej 50 pracowników lub osiągające roczny obrót powyżej 10 milionów EUR.

Podmioty kluczowe to zazwyczaj duże przedsiębiorstwa z sektorów o wysokiej krytyczności (załącznik I). Zaliczają się do nich firmy zatrudniające powyżej 250 pracowników lub osiągające roczny obrót netto powyżej 50 mln EUR (alternatywnie: suma bilansowa powyżej 43 mln EUR). Do tej kategorii automatycznie należą również niektóre podmioty wskazane przez dyrektywę niezależnie od wielkości – dostawców usług zaufania, operatorów usług kluczowych w zakresie infrastruktury DNS oraz podmioty publiczne o szczególnym znaczeniu.

Podmioty ważne to firmy z załączników I i II, które nie spełniają kryteriów podmiotów kluczowych, ale mieszczą się w progu średniego przedsiębiorstwa. Oznacza to podmioty działające w sektorach krytycznych, zatrudniające mniej niż 250 pracowników, osiągające roczny obrót netto nieprzekraczający 50 mln EUR.

Kryterium Podmioty kluczowe Podmioty ważne
Próg
wielkości		 >250 pracowników
LUB obrót >50 mln EUR		 50-249 pracowników LUB roczny obrót netto do 50 mln EUR
Typowe
sektory		 Energetyka, zdrowie, bankowość, infrastruktura cyfrowa Usługi pocztowe, żywność, produkcja, usługi cyfrowe
Przykład Duży szpital kliniczny, operator sieci energetycznej Firma kurierska, producent żywności
Rodzaj
nadzoru
monitoringu		 Ex ante i ex post (kontrole prewencyjne i reaktywne) Głównie ex post (kontrole reaktywne)
Maksymalna
kara za
naruszenia		 10 mln EUR lub 2% rocznego obrotu globalnego w poprzednim roku obrotowym – zastosowanie ma kwota wyższa 7 mln EUR lub 1,4% rocznego obrotu globalnego w poprzednim roku obrotowym – zastosowanie ma kwota wyższa

Różnica w nadzorze jest istotna praktycznie. Podmioty kluczowe podlegają intensywniejszym kontrolom – właściwych organów mogą przeprowadzać audyty prewencyjne bez uprzedniego incydentu. Podmioty ważne są kontrolowane głównie w reakcji na zgłoszenie lub podejrzenie naruszenia, co oznacza nieco mniejsze obciążenie administracyjne.

Kiedy NIS2 obejmuje mikro, małe i średnie przedsiębiorstwa (MŚP)

Choć NIS2 jest nakierowana przede wszystkim na średnie i duże firmy, dyrektywa przewiduje kilka ścieżek objęcia obowiązkami także mniejszych podmiotów. MŚP, w tym mikroprzedsiębiorstwa, mogą podlegać regulacji, jeśli są bezpośrednio spełniają warunki określone w NIS2, Ministerstwo Cyfryzacji zakwalifikowało je jako podmiot ważny lub kluczowy ze względu na spełnianie określonych kryteriów, są elementem łańcucha dostaw innej firmy objętej obowiązkami na podstawie NIS2.

Przykłady MŚP potencjalnie objętych NIS2:

    • Mały operator wodociągów obsługujący kilka gmin
    • Lokalny dostawca usług chmurowych
    • Software house rozwijający systemy dla banków
    • Firma serwisująca infrastrukturę sieciową szpitali
    • Producent komponentów dla sektora energetycznego

NIS2 obowiązuje MŚP bezpośrednio

Część MŚP spełnia kryteria „krytycznego podmiotu” z uwagi na rodzaj świadczonych usług, nawet jeśli nie osiąga progów dużego przedsiębiorstwa. Dyrektywa wprost wskazuje, że niektóre kategorie podmiotów podlegają regulacji niezależnie od wielkości.

Konkretne przykłady obejmują: lokalny szpital powiatowy pełniący funkcję jedynej placówki ratunkowej w regionie, mały operator sieci dystrybucji energii na obszarze jednego powiatu, dostawca usług DNS obsługujący setki firm czy lokalny dostawca usług chmurowych, z którego korzystają podmioty publiczne.

Takie podmioty mogą zostać zaliczone do kategorii kluczowych lub ważnych bezpośrednio na mocy przepisów prawa krajowego, jeśli pełnią funkcję infrastruktury krytycznej. Różnica między statusem MŚP według definicji UE a oceną znaczenia firmy dla bezpieczeństwa państwa jest tutaj kluczowa – liczy się rola, nie rozmiar.

NIS2 obowiązuje MŚP na mocy decyzji ministra

Dyrektywa przewiduje mechanizm, w którym państwo członkowskie może objąć obowiązkami NIS2 także małe i mikroprzedsiębiorstwa. W Polsce taką decyzję podejmuje minister właściwy ds. cyfryzacji, gdy działalność firmy ma szczególne znaczenie dla społeczeństwa, gospodarki lub określonego sektora.

Kwalifikacja odbywa się w drodze indywidualnej decyzji administracyjnej. Organy krajowe stosują kryteria określone w ustawie i aktach wykonawczych:

    • Skala oddziaływania świadczonych usług
    • Liczba użytkowników lub klientów zależnych od usługi
    • Znaczenie dla świadczenia usług publicznych
    • Powiązania z infrastrukturą krytyczną
    • Potencjalne zagrożenia i skutki awarii dla bezpieczeństwa publicznego

W praktyce może to dotyczyć wyspecjalizowanych dostawców usług IT dla służby zdrowia, małych operatorów sieci przemysłowych, integratorów systemów OT (technologii operacyjnych) czy firm zarządzających infrastrukturą dla podmiotów administracji publicznej.

NIS2 a MŚP w łańcuchu dostaw

Dyrektywa nakłada na podmioty kluczowe i ważne obowiązek zabezpieczenie łańcuchów dostaw i zarządzania ryzykiem w relacjach z bezpośrednimi dostawcami. To oznacza, że MŚP współpracujące z dużymi podmiotami będą musiały spełnić określone wymagania cyberbezpieczeństwa, nawet jeśli formalnie nie są bezpośrednio uznane za podmioty NIS2.

Przykłady podmiotów w łańcuchu dostaw:

    • Software house rozwijający system bankowy lub moduły dla operatora energetycznego
    • Firma serwisująca infrastrukturę sieciową operatora telekomunikacyjnego
    • Producent komponentów przemysłowych podłączonych do sieci OT w fabryce
    • Dostawca rozwiązań cyberbezpieczeństwa dla szpitala

Praktyczne konsekwencje dla dostawców:

    • Konieczność podpisywania aneksów bezpieczeństwa do umów
    • Poddanie się audytom u dostawców przeprowadzanym przez zleceniodawców
    • Wymogi certyfikacji (np. ISO 27001, SOC 2)
    • Obowiązek raportowania incydentów bezpieczeństwa komputerowego do zleceniodawcy 
    • Wdrożenie procedury stosowania kryptografii i kontroli dostępu zgodnych z wymaganiami klienta

 

Którzy przedsiębiorcy są poza zakresem NIS2

Dyrektywa nie obejmuje wszystkich firm – skupia się na sektorach i podmiotach mających kluczowe znaczenie dla funkcjonowania gospodarki i państwa. Zrozumienie wyłączeń jest równie ważne jak znajomość zakresu regulacji.

Podmioty wyłączone z NIS2:

    • Firmy działające poza sektorami z załączników I i II
    • Bardzo małe firmy (mikroprzedsiębiorstwa) o marginalnym wpływie na bezpieczeństwo systemowe
    • Jednostki administracji związane z obronnością, bezpieczeństwem narodowym i egzekwowania prawa (z wyjątkiem dostawców usług zaufania)
    • Podmioty działające wyłącznie w obszarach bezpieczeństwa narodowego
    • Sądy, parlamenty i banki centralne (w zakresie polityki pieniężnej)

Przykłady firm prawdopodobnie nieobjętych NIS2:

    • Mały sklep internetowy bez powiązań z infrastrukturą krytyczną
    • Lokalna restauracja lub salon fryzjerski
    • Firma consultingowa niepowiązana z sektorami regulowanymi
    • Małe biuro rachunkowe obsługujące lokalne firmy
    • Agencja reklamowa bez dostępu do systemów krytycznych

Ważne zastrzeżenie: nawet jeśli dana firma nie podlega NIS2, powinna traktować wymogi dyrektywy jako dobry punkt odniesienia do budowy własnego systemu cyberbezpieczeństwa. Podstawowe praktyki cyberhigieny opisane w dyrektywie są uniwersalne i chronią każdą organizację przed potencjalne zagrożenia.

Ostateczna kwalifikacja zawsze wynika z analizy konkretnej działalności firmy i aktualnych przepisów krajowych. Ogólny opis branży nie wystarczy – konieczna jest szczegółowa ocena świadczonych usług, powiązań z sektorami krytycznymi i roli w łańcuchach dostaw.

Dowiedz się więcej
Sprawdź, jak anonimizacja danych z Soflab G.A.L.L. pomaga spełnić wymagania NIS2.

Rejestr podmiotów kluczowych i ważnych oraz mechanizm samoidentyfikacji

NIS2 wprowadza obowiązek tworzenia krajowych wykazów podmiotów kluczowych i ważnych. ENISA – Agencja Unii Europejskiej ds. Cyberbezpieczeństwa – prowadzi dodatkowo rejestr podmiotów świadczących niektóre usługi cyfrowe na poziomie unijnym (np. dostawców usług DNS, usług chmurowych, usług centrów danych). W Polsce wykaz podmiotów kluczowych i ważnych będzie prowadził organ właściwy do spraw cyberbezpieczeństwa w zakresie nadzorowanego sektora (np. w zakresie energii będzie to minister energetyki). Katalog organów właściwych do spraw cyberbezpieczeństwa dla danych sektorów znajduje się w art. 41 KSC.

Mechanizm samoidentyfikacji oznacza, że to przedsiębiorca sam sprawdza, czy spełnia kryteria sektorowe i wielkościowe dyrektywy. Następnie zgłasza się do odpowiedniego rejestru prowadzonego przez organ krajowy – w Polsce będzie to organ wskazany w ustawie o KSC.

Informacje wymagane przy rejestracji:

    • Dane identyfikacyjne firmy (nazwa, NIP, REGON, adres)
    • Opis świadczonych usług i ich zakresu cyberbezpieczeństwa
    • Sektor lub sektory działalności według załączników dyrektywy
    • Wielkość zatrudnienia i dane finansowe
    • Informacje o kluczowych systemach informatycznych
    • Dane kontaktowe osoby odpowiedzialnej za cyberbezpieczeństwo
    • Informacje o powiązaniach w grupie kapitałowej

Rejestracja odbywa się elektronicznie w terminach określonych przez ministra ds. cyfryzacji. Brak zgłoszenia przy spełnionych kryteriach może skutkować sankcjami administracyjnymi.

Instrukcja krok po kroku dla firm:

  1. Sprawdź, czy Twoja firma działa w sektorach z załącznika I lub II
  2. Zweryfikuj, czy spełniasz kryteria wielkościowe (50+ pracowników lub 10+ mln EUR obrotu)
  3. Oceń swoją rolę w łańcuchu dostaw podmiotów kluczowych
  4. Przygotuj wymagane dokumenty i informacje
  5. Dokonaj rejestracji w wyznaczonym terminie
  6. Zaplanuj wdrożenie obowiązków zgodnie z harmonogramem ustawy
Systemy IT i ochrona danych jako element wymogów dyrektywy NIS2

Obowiązki firm dotkniętych dyrektywą NIS2

Dyrektywa określa dwa główne obszary obowiązków: środków zarządzania ryzykiem w cyberbezpieczeństwie (art. 21) oraz obowiązki zgłaszania incydentów (art. 23). Oba obszary wymagają systematycznego podejścia i zaangażowania całej organizacji – od zarządu po pracowników operacyjnych.

Kluczowe grupy obowiązków:

    • Wprowadzenie polityki analizy ryzyka i bezpieczeństwa systemów informatycznych
    • Zapewnienie ciągłości działania poprzez opracowanie planu ciągłości działania i procedur disaster recovery
    • Zabezpieczenie łańcucha dostaw i relacji z dostawcami
    • Regularne szkolenia w zakresie cyberbezpieczeństwa dla personelu, w tym zarządów
    • Monitorowanie incydentów i raportowanie ich do CSIRT lub właściwego organu
    • Stosowanie uwierzytelniania wieloskładnikowego i szyfrowanie danych
    • Zarządzanie podatnościami i aktualizacjami systemów
    • Zapewnienie bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami

Dyrektywa wprowadza bezprecedensową odpowiedzialność kierownictwa. Zarządy firm muszą nadzorować wdrożenie środków zarządzania ryzykiem, zatwierdzać polityki bezpieczeństwa i uczestniczyć w szkoleniach. W przypadku incydentów poważnych wynikających z rażących zaniedbań, członkowie kierownictwa mogą ponosić osobistą odpowiedzialność przed organem właściwym do spraw cyberbezpieczeństwa. Będzie on mógł nałożyć na kierownika podmiotu kluczowego lub ważnego karę w wysokości do 300% otrzymywanego przez niego wynagrodzenia według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Ważne jest wskazanie, że w przypadku podmiotów zarządzanych przez organy kolegialne, w przypadku braku wskazania osoby odpowiedzialnej za wykonywanie obowiązków z zakresu cyberbezpieczeństwa – odpowiedzialność ponoszą wszyscy członkowie organu zarządczego.

Wdrożenie odpowiednich środków zarządzania ryzykiem w firmie

NIS2 nie narzuca jednej konkretnej normy technicznej, ale wymaga „odpowiednich i proporcjonalnych” środków technicznych, operacyjnych i organizacyjnych. Proporcjonalne środki techniczne oznaczają, że zakres wdrożenia powinien odpowiadać wielkości firmy, jej ekspozycji na ryzyko i potencjalnym skutkom incydentów.

Kategorie środków wymaganych przez art. 21:

Obszar Wymagania
Polityka
zarządzania
ryzykiem		 Polityka analizy ryzyka, regularna ocena zagrożeń, dokumentacja
Obsługa
incydentów		 Procedury wykrywania, reagowania i raportowania
Ciągłość
działania		 Plan ciągłości, backup, disaster recovery, zarządzanie kryzysowe
Bezpieczeństwo
łańcucha dostaw		 Ocena dostawców, wymogi umowne, audyty
Bezpieczeństwo
sieci		 Procedury stosowania kryptografii, segmentacja, monitoring, w stosownych przypadkach szyfrowanie
Zarządzanie
podatnościami		 Aktualizacje, patching, testy w procesie nabywania i utrzymania sieci
Cyberhigiena
i szkolenia		 Regularne szkolenia, świadomość zagrożeń, bezpieczeństwa fizycznego
Kontrola
dostępu		 Uwierzytelniania wieloskładnikowego, zasada minimalnych uprawnień, zabezpieczonych połączeń głosowych

Dobrym punktem odniesienia są międzynarodowe standardy: ISO 27001 (bezpieczeństwo informacji), ISO 22301 (ciągłość działania) i ISO 31000 (zarządzanie ryzykiem). Wiele organizacji decyduje się na mapowanie wymogów NIS2 do tych norm, co ułatwia wdrożenie i późniejsze audyty.

Typowy plan wdrożenia:

  1. Analiza luki (gap analysis) – porównanie obecnego stanu z wymogami NIS2
  2. Projekt polityk – opracowanie dokumentacji w zakresie zarządzania ryzykiem
  3. Dobór technologii – wybór rozwiązań technicznych (SIEM, EDR, backup)
  4. Szkolenia – przeszkolenie pracowników i zarządu
  5. Testy – testy penetracyjne, ćwiczenia cyberkryzysowe, weryfikacja procedur

Regularne szkolenia i budowanie świadomości pracowników to jeden z kluczowych wymogów dyrektywy. NIS2 wymaga, by zarządy firm uczestniczyły w szkoleniach z zakresie cyberbezpieczeństwa – to nie jest zadanie wyłącznie dla działu IT.

Zgłaszanie incydentów cyberbezpieczeństwa i raportowanie

Podmioty kluczowe i ważne mają obowiązek zgłaszania poważnych incydentów do właściwego CSIRT lub swojego właściwego organu. NIS2 wprowadza ścisły harmonogram raportowania, który wymaga sprawnych procedur wewnętrznych.

Terminy zgłaszania incydentów:

Etap Termin Zawartość
Wstępne ostrzeżenie (early warning) 24 godziny od wykrycia Podstawowe informacje o incydencie, wstępna ocena, w stosownych wypadkach wskazanie czy incydent został wywołany bezprawnie, w złej wierze oraz czy może mieć skutki transgraniczne
Szczegółowy raport 72 godziny od wykrycia Aktualizacja informacji, pogłębiona ocena skutków i ich dotkliwości, w określonych przypadkach wskaźniki integralności systemu
Sprawozdanie końcowe 1 miesiąc po incydencie szczegółowy opis incydentu, rodzaj zagrożenia lub pierwotna przyczyna incydentu, zastosowane i wdrażane środki naprawcze, w stosownych przypadkach transgraniczne skutki

W przypadku podatności (przypadku podatności) termin wstępnego zgłoszenia ulega skróceniu. Incydenty transgraniczne – dotykające kilku państw UE – są dodatkowo koordynowane na poziomie ENISA, sieci CSIRT i EU-CyCLONe. Te struktury wspierają wymianę informacji o zagrożeniach i koordynują reakcję w sytuacjach nadzwyczajnych.

Dyrektywa umożliwia także dobrowolne zgłaszanie incydentów lub poważnych zagrożeń przez podmioty, które formalnie nie są objęte NIS2. CSIRT zapewnia poufność informacji przekazywanych przez zgłaszających – to zachęta do dzielenia się wiedzą o zagrożeniach.

Jak przygotować procedurę zgłaszania incydentów w firmie:

    • Określ schemat odpowiedzialności – kto podejmuje decyzję o zgłoszeniu
    • Ustal kanały kontaktu z CSIRT i organem nadzorczym
    • Zdefiniuj kryteria uznania zdarzenia za incydent poważny
    • Przygotuj szablony raportów zgodne z wymogami NIS2
    • Przeprowadź ćwiczenia symulacyjne (tabletop exercises) w wystąpieniu sytuacji nadzwyczajnej
    • Dokumentuj wszystkie incydenty, nawet te niezgłaszane obowiązkowo

 

Dowiedz się więcej
Sprawdź, jak anonimizacja danych z Soflab G.A.L.L. pomaga spełnić wymagania NIS2.

Dyrektywa NIS2 w praktyce – nadzór, kary i pierwsze kroki dla firm

Skuteczność NIS2 opiera się na realnym nadzorze ze strony państw członkowskich oraz na mechanizmach egzekwowania przepisów. Dyrektywa harmonizuje sankcje w całej Unii, zapewniając jednolity poziom prowadzenia postępowań i karania naruszeń.

Maksymalne administracyjne kary pieniężne:

    • Podmioty kluczowe: do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu w poprzednim roku obrotowym (w zależności od tego, która kwota jest wyższa)
    • Podmioty ważne: do 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu w poprzednim roku obrotowym (w zależności od tego, która kwota jest wyższa)

Organy nadzorcze dysponują szerokim wachlarzem środków egzekwowania prawa:

    • Żądanie informacji i dokumentów dotyczących cyberbezpieczeństwa
    • Audyty i kontrole (dla podmiotów kluczowych – także prewencyjne)
    • Nakazy wdrożenia konkretnych środków bezpieczeństwa
    • Czasowe ograniczenie lub zawieszenie świadczenia usług
    • Nakaz publicznego ujawnienia naruszeń
    • W skrajnych przypadkach – zakaz pełnienia funkcji przez członków kierownictwa

Pierwsze kroki dla Twojej organizacji:

  1. Identyfikacja – Sprawdź, czy NIS2 dotyczy Twojej firmy. Przeanalizuj sektor działalności, wielkość zatrudnienia, obroty i rolę w łańcuchach dostaw.
  2. Analiza luki (gap analysis) – Porównaj obecny stan cyberbezpieczeństwa z wymogami dyrektywy. Zidentyfikuj braki w politykach, procedurach i technologiach.
  3. Plan działań i budżet – Opracuj harmonogram wdrożenia z realistycznymi terminami. Oszacuj koszty i zabezpiecz budżet na niezbędne inwestycje.
  4. Wybór rozwiązań i partnerów – Zdecyduj, które obszary zrealizujesz wewnętrznie, a które zlecisz zewnętrznym ekspertom. Rozważ certyfikację ISO 27001 jako fundament zgodności.
  5. Szkolenia – Przeszkol zarząd i pracowników. Budowanie świadomości cyberbezpieczeństwa to obowiązek, nie opcja.
  6. Testy i ćwiczenia – Przeprowadź testy penetracyjne i ćwiczenia reagowania na incydenty. Zweryfikuj, czy procedury działają w praktyce.
Cyberbezpieczeństwo w firmach w kontekście dyrektywy NIS2 i nowych obowiązków

Podsumowanie

Dyrektywa NIS2 to pierwsze tak kompleksowe europejskie prawo w obszarze cyberbezpieczeństwa, obejmujące operatorów usług podstawowych i dostawców usług cyfrowych w 18 sektorach krytycznych. Wymogi dotyczą zarówno dużych korporacji, jak i średnich przedsiębiorstw, a w niektórych przypadkach – również mniejszych firm pełniących kluczowe funkcje.

Zmiany wprowadza NIS2 są głębokie: od obowiązkowej polityki zarządzania ryzykiem, przez ścisłe terminy zgłaszania incydentów, po osobistą odpowiedzialność zarządów. Kary za niedopełnienie obowiązków sięgają 10 milionów EUR – to nie jest regulacja, którą można zignorować.

NIS2 nie jest jednak wyłącznie obowiązkiem prawnym. To okazja do uporządkowania cyberbezpieczeństwa w Twojej organizacji, wzmocnienia odporności na ataki i budowania przewagi konkurencyjnej. Firmy, które potraktują dyrektywę jako szansę, a nie tylko wymóg, zyskają nie tylko zgodność z przepisami, ale też realną ochronę swojej działalności.

Realizacja obowiązków dotyczących cyberbezpieczeństwa na podstawie NIS2 to także w dużej mierze bezpieczeństwo danych. Art. 21 ust. 2. NIS2 jasno wskazuje m. in bezpieczeństwo łańcucha dostaw jako środek zarządzania ryzykiem. Przekazywanie danych w ramach podmiotów łańcucha dostaw niewątpliwie może stanowić obszar ryzyka – dlatego warto zadbać o bezpieczeństwo danych w łańcuchu dostaw na przykład poprzez ich anonimizację.

Rozpocznij przygotowania już dziś. Przeprowadź analizę luki, zidentyfikuj priorytetowe obszary i zaplanuj wdrożenie. Terminy zbliżają się nieubłaganie, a dobrze przygotowana firma to firma odporna na zagrożenia cyfrowe.