• IT

Dyrektywa NIS2 – sprawdź, czy przepisy dotyczą Twojej firmy

Paula Dokowicz
19 min
Dyrektywa NIS2

Chcesz przygotować swoją firmę do
przepisów dyrektywy NIS2?

Rosnąca liczba cyberzagrożeń, ich częstotliwość, skala i stopień zaawansowania, a także dynamiczny rozwój cyfryzacji stanowią poważne zagrożenia dla bezpiecznego funkcjonowania sieci i systemów informatycznych państw członkowski całej UE.

W odpowiedzi na te ryzyka w 2016 r. Unia Europejska wprowadziła dyrektywę NIS, którą wdrożyła w Polsce Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Jej celem było zwiększenie bezpieczeństwa cyfrowego, ograniczenie skutków incydentów bezpieczeństwa, a przez to usprawnienie funkcjonowania gospodarki w całej Unii.

W 16 styczniu 2023 roku weszła w życie dyrektywa NIS2, wprowadzając nowe regulacje oraz uchylając dotychczas obowiązującą dyrektywę NIS. W poniższym artykule omówimy zmiany, jakie przyniosła dyrektywa NIS2, a także wskażemy, kogo dotyczą nowe przepisy.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 to unijny akt prawny, który zastąpił dyrektywę NIS, przyjętą w 2016 r. Celem dyrektywy NIS2 jest zaktualizowanie obowiązków w zakresie cyberbezpieczeństwa oraz wprowadzenie przepisów, które pomogą w ich egzekwowaniu. Dotyczy to między innymi przepisów związanych z zarządzaniem ryzykiem, a także reagowaniem, zarządzaniem i raportowaniem incydentów.

Zmiany dotyczące dyrektywy NIS2

Do najważniejszych zmian wprowadzonych przez dyrektywę NIS2 zaliczają się:

  • Rozszerzenie katalogu podmiotów kluczowych oraz wprowadzenie podmiotów ważnych.
  • Nałożenie podobnych obowiązków na podmioty kluczowe i ważne, przy czym zapewniany poziom bezpieczeństwa sieci i systemów informatycznych powinien być odpowiedni do istniejącego ryzyka.
  • Wprowadzenie nowych możliwości egzekwowania przepisów, obejmujących dodatkowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak:
    • Nakładanie administracyjnych kar finansowych na podmioty kluczowe i podmioty ważne.
    • Wprowadzenie odpowiedzialności indywidualnej. Każda osoba fizyczna odpowiedzialna za podmiot kluczowy lub ważny, lub działająca jako przedstawiciel prawny tego podmiotu, na mocy upoważnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli, będzie mogła ponieść odpowiedzialność za niedopełnienie obowiązku zapewnienia zgodności z dyrektywą NIS2.
    • Wprowadzenie doraźnych kontroli w stosunku do podmiotów kluczowych.
  • Nałożenie obowiązków dotyczących zarządzania ryzykiem i zgłaszania incydentów obejmuje podmioty kluczowe oraz ważne, zobowiązując je do wdrożenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w kontekście zarządzania ryzykiem. Dodatkowo nakłada się obowiązek poinformowania właściwego CSRIT lub innego organu w ściśle określonych terminach w przypadku wystąpienia poważnego incydentu.

Kogo dotyczy dyrektywa NIS2?

Nowe przepisy znoszą dotychczasowe rozróżnienie na operatorów usług kluczowych oraz dostawców usług cyfrowych, wprowadzając podział na podmioty kluczowe i ważne.

Oceniając, czy dany podmiot zostanie zakwalifikowany jako kluczowy, czy ważny, uwzględnia się jego rozmiar oraz sektor działalności. Istotne jest również określenie, jakie znaczenie ma dany sektor dla niezakłóconego funkcjonowania gospodarczego i społecznego Unii Europejskiej.

Dyrektywa NIS2 ma zastosowanie zarówno do podmiotów publicznych, jak i prywatnych, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich firm. A więc takich, które zatrudniają co najmniej 50 pracowników oraz których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro. Jednocześnie są to przedsiębiorstwa, które świadczą usługi lub prowadzą działalność w Unii Europejskiej.

Regulacjom mają podlegać także niektóre małe i mikroprzedsiębiorstwa, które spełniają szczególne kryteria związane z ich kluczową rolą dla społeczeństwa, gospodarki, a także konkretnych sektorów lub usług.

Podmioty kluczowe

Kluczowe podmioty to te, które świadczą usługi niezbędne do sprawnego funkcjonowania społeczeństwa i gospodarki Unii. Ponadto mają one bezpośredni wpływ na stabilność oraz bezpieczeństwo tych obszarów.

Energetyka
  • Energia elektryczna
    • Przedsiębiorstwa energetyczne wykonujące funkcję dostaw
    • Operatorzy systemów dystrybucyjnych
    • Operatorzy systemów przesyłowych
    • Wytwórcy
    • Wyznaczeni operatorzy rynku energii elektrycznej
    • Uczestnicy rynku świadczący usługi agregacji, odpowiedzi odbiory lub magazynowania energii
    • Operatorzy punktów ładowania odpowiedzialni za zarządzenie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
  • System ciepłowniczy lub chłodniczy
    • Operatorzy systemów ciepłowniczych lub chłodniczych
  • Ropa naftowa
    • Operatorzy ropociągów
    • Operatorzy instalacji służących do produkcji, rafinacji, przetwarzania, magazynowania i przesyłu ropy naftowej
    • Krajowe centrale zapasów
  • Gaz
    • Przedsiębiorstwa dostarczające gaz
    • Operatorzy systemów dystrybucyjnych
    • Operatorzy systemów przesyłowych
    • Operatorzy systemów magazynowania
    • Operatorzy systemów LNG
    • Przedsiębiorstwa gazowe
    • Operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego
  • Wodór
    • Operatorzy instalacji służących do produkcji, magazynowania i przesyłu wodoru
Transport
  • Transport lotniczy
    • Przewoźnicy lotniczy wykorzystywani do celów komercyjnych
    • Zarządzający portem lotniczym, porty lotnicze, w tym porty bazowe oraz jednostki obsługujące urządzenia pomocnicze znajdujące się w portach lotniczych
    • Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC)
  • Transport kolejowy
    • Zarządcy infrastruktury
    • Przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
  • Transport wodny
    • Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, z wyłączeniem poszczególnych statków, na których prowadzą działalność ci armatorzy
    • Organy zarządzające portami, w tym ich obiekty portowe, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach
    • Operatorzy systemów ruchu statków (SRS)
  • Transport drogowy
    • Organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotną częścią ich ogólnej działalności
    • Operatorzy inteligentnych systemów transportowych
Bankowość
  • Instytucje kredytowe
Infrastruktura rynków finansowych
  • Operatorzy systemów obrotu
  • Kontrahenci centralni (CCP)
Opieka zdrowotna
  • Świadczeniodawcy
  • Laboratoria referencyjne UE
  • Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
  • Podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
  • Podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego
Woda pitna
  • Dostawcy i dystrybutorzy „wody przeznaczonej do spożycia przez ludzi”, z wyłączeniem dystrybutorów, dla których dystrybucja wody przeznaczonej do spożycia przez ludzi jest inną niż istotną częścią ich ogólnej działalności polegającej na dystrybucji innych produktów i towarów
Ścieki
  • Przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne, bytowe lub przemysłowe, z wyłączeniem przedsiębiorstw, dla których zbieranie, odprowadzanie lub oczyszczanie ścieków komunalnych, bytowych lub przemysłowych jest inną niż istotna częścią ich ogólnej działalności
Infrastruktura cyfrowa
  • Dostawcy punktu wymiany ruchu internetowego
  • Dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw
  • Rejestry nazw TLD
  • Dostawcy usług chmurowych
  • Dostawcy usług ośrodka przetwarzania danych
  • Dostawcy sieci dostarczania treści
  • Dostawcy usług zaufania
  • Dostawcy publicznych sieci łączności elektronicznej
  • Dostawcy publicznie dostępnych usług łączności elektronicznej
Zarządzanie usługami ICT (między przedsiębiorstwami)
  • Dostawcy usług zarządzanych
  • Dostawcy usług zarządzanych w zakresie bezpieczeństwa
Podmioty administracji publicznej
  • Podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym zdefiniowane przez państwo członkowskie zgodnie z prawem krajowym
  • Podmioty administracji publicznej na szczeblu regionalnym zdefiniowane przez państwo członkowskie zgodnie z prawem krajowym
Przestrzeń kosmiczna
  • Operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej

Podmioty ważne

Podmioty ważne, choć nie spełniają kryteriów kluczowych, mają znaczący wpływ na właściwe funkcjonowanie gospodarki i społeczeństwa Unii Europejskiej.

Usługi pocztowe i kurierskie
  • Operatorzy świadczący usługi pocztowe, w tym dostawcy usług kurierskich
Gospodarowanie odpadami
  • Przedsiębiorstwa zajmujące się gospodarowaniem odpadami, z wyłączeniem przedsiębiorstw, dla których gospodarowanie odpadami nie stanowi głównej działalności gospodarczej
Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
Produkcja, przetwarzanie i dystrybucja żywności
  • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
Produkcja
  • Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
    • Podmioty produkujące wyroby medyczne zdefiniowane oraz podmioty produkujące wyroby medyczne do diagnostyki in vitro, z wyjątkiem podmiotów produkujących wyroby medyczne
  • Produkcja komputerów, wyrobów elektronicznych i optycznych
  • Produkcja urządzeń elektrycznych
  • Produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
  • Produkcja pojazdów samochodowych, przyczep i naczep
  • Produkcja pozostałego sprzętu transportowego
Dostawcy usług cyfrowych
  • Dostawcy internetowych platform handlowych
  • Dostawcy wyszukiwarek internetowych
  • Dostawcy platform usług sieci społecznościowych

Do kiedy trzeba wdrożyć zmiany z dyrektywy NIS2?

Termin na dostosowanie się do nowych wymagań upływa 17 października 2024 r. Od 18 października 2024 r. państwa członkowskie UE są zobowiązane do przestrzegania przepisów zawartych w dyrektywie.

Twoja firma podlega przepisom NIS 2? Dowiedz się, jak możemy pomóc.

(+48) 505 171 898 Piotr Gawara CEO & Board President
instalacje niskoprądowe
  • Instalacje

Instalacje niskoprądowe — Słownik pojęć

  • Czytaj dalej
kontrola dostępu
  • Instalacje

Kontrola dostępu — technologia, która chroni Twoje zasoby 

  • Czytaj dalej
outsourcing usług informatycznych
  • Outsourcing IT

Zatrudnienie specjalistów vs outsourcing usług informatycznych — co wybrać? 

  • Czytaj dalej
  • IT

Własne centrum danych czy kolokacja serwerów?

  • Czytaj dalej
audyt informatyczny
  • Outsourcing IT

Audyt informatyczny — wszystko, co musisz o nim wiedzieć

  • Czytaj dalej
społeczna odpowiedzialność biznesu
  • Branża TSL

ESG – co to takiego i kto musi wdrożyć raportowanie niestandardowe?

  • Czytaj dalej
obsługa informatyczna firm
  • Outsourcing IT

Obsługa informatyczna firm — dlaczego warto w nią zainwestować?

  • Czytaj dalej
norma euro
  • Branża TSL

Porozumienie Euro 7 – od kiedy obowiązuje i co dokładnie zmienia?

  • Czytaj dalej
  • Dofinansowania

Bon dla nauczycieli na laptopa – najważniejsze informacje

  • Czytaj dalej
  • Outsourcing IT

Opieka informatyczna – 5 najczęstszych pytań od klientów

  • Czytaj dalej
elektroniczna ewidencja czasu pracy
  • Instalacje

Elektroniczna ewidencja czasu pracy w firmie

  • Czytaj dalej
outsourcing IT
  • Outsourcing IT

Dlaczego outsourcing usług IT jest kluczowy dla efektywności biznesowej?

  • Czytaj dalej