Dyrektywa NIS2 – sprawdź, czy przepisy dotyczą Twojej firmy
Chcesz przygotować swoją firmę do
przepisów dyrektywy NIS2?
Rosnąca liczba cyberzagrożeń, ich częstotliwość, skala i stopień zaawansowania, a także dynamiczny rozwój cyfryzacji stanowią poważne zagrożenia dla bezpiecznego funkcjonowania sieci i systemów informatycznych państw członkowski całej UE.
W odpowiedzi na te ryzyka w 2016 r. Unia Europejska wprowadziła dyrektywę NIS, którą wdrożyła w Polsce Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Jej celem było zwiększenie bezpieczeństwa cyfrowego, ograniczenie skutków incydentów bezpieczeństwa, a przez to usprawnienie funkcjonowania gospodarki w całej Unii.
W 16 styczniu 2023 roku weszła w życie dyrektywa NIS2, wprowadzając nowe regulacje oraz uchylając dotychczas obowiązującą dyrektywę NIS. W poniższym artykule omówimy zmiany, jakie przyniosła dyrektywa NIS2, a także wskażemy, kogo dotyczą nowe przepisy.
Spis treści
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 to unijny akt prawny, który zastąpił dyrektywę NIS, przyjętą w 2016 r. Celem dyrektywy NIS2 jest zaktualizowanie obowiązków w zakresie cyberbezpieczeństwa oraz wprowadzenie przepisów, które pomogą w ich egzekwowaniu. Dotyczy to między innymi przepisów związanych z zarządzaniem ryzykiem, a także reagowaniem, zarządzaniem i raportowaniem incydentów.
Zmiany dotyczące dyrektywy NIS2
Do najważniejszych zmian wprowadzonych przez dyrektywę NIS2 zaliczają się:
Rozszerzenie katalogu podmiotów kluczowych oraz wprowadzenie podmiotów ważnych.
Nałożenie podobnych obowiązków na podmioty kluczowe i ważne, przy czym zapewniany poziom bezpieczeństwa sieci i systemów informatycznych powinien być odpowiedni do istniejącego ryzyka.
Wprowadzenie nowych możliwości egzekwowania przepisów, obejmujących dodatkowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak:
Nakładanie administracyjnych kar finansowych na podmioty kluczowe i podmioty ważne.
Wprowadzenie odpowiedzialności indywidualnej. Każda osoba fizyczna odpowiedzialna za podmiot kluczowy lub ważny, lub działająca jako przedstawiciel prawny tego podmiotu, na mocy upoważnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli, będzie mogła ponieść odpowiedzialność za niedopełnienie obowiązku zapewnienia zgodności z dyrektywą NIS2.
Wprowadzenie doraźnych kontroli w stosunku do podmiotów kluczowych.
Nałożenie obowiązków dotyczących zarządzania ryzykiem i zgłaszania incydentów obejmuje podmioty kluczowe oraz ważne, zobowiązując je do wdrożenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w kontekście zarządzania ryzykiem. Dodatkowo nakłada się obowiązek poinformowania właściwego CSRIT lub innego organu w ściśle określonych terminach w przypadku wystąpienia poważnego incydentu.
Kogo dotyczy dyrektywa NIS2?
Nowe przepisy znoszą dotychczasowe rozróżnienie na operatorów usług kluczowych oraz dostawców usług cyfrowych, wprowadzając podział na podmioty kluczowe i ważne.
Oceniając, czy dany podmiot zostanie zakwalifikowany jako kluczowy, czy ważny, uwzględnia się jego rozmiar oraz sektor działalności. Istotne jest również określenie, jakie znaczenie ma dany sektor dla niezakłóconego funkcjonowania gospodarczego i społecznego Unii Europejskiej.
Dyrektywa NIS2 ma zastosowanie zarówno do podmiotów publicznych, jak i prywatnych, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich firm. A więc takich, które zatrudniają co najmniej 50 pracowników oraz których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro. Jednocześnie są to przedsiębiorstwa, które świadczą usługi lub prowadzą działalność w Unii Europejskiej.
Regulacjom mają podlegać także niektóre małe i mikroprzedsiębiorstwa, które spełniają szczególne kryteria związane z ich kluczową rolą dla społeczeństwa, gospodarki, a także konkretnych sektorów lub usług.
Podmioty kluczowe
Kluczowe podmioty to te, które świadczą usługi niezbędne do sprawnego funkcjonowania społeczeństwa i gospodarki Unii. Ponadto mają one bezpośredni wpływ na stabilność oraz bezpieczeństwo tych obszarów.
Podmioty ważne
Podmioty ważne, choć nie spełniają kryteriów kluczowych, mają znaczący wpływ na właściwe funkcjonowanie gospodarki i społeczeństwa Unii Europejskiej.
Do kiedy trzeba wdrożyć zmiany z dyrektywy NIS2?
Termin na dostosowanie się do nowych wymagań upływa 17 października 2024 r. Od18 października 2024 r. państwa członkowskie UE są zobowiązane do przestrzegania przepisów zawartych w dyrektywie.
Outsourcing IT
Dlaczego outsourcing usług IT jest kluczowy dla efektywności biznesowej?
Czytaj dalej
Instalacje
Kontrola dostępu — technologia, która chroni Twoje zasoby
Czytaj dalej
Branża TSL
Zarządzanie flotą pojazdów w firmie — jak robić to efektywnie?
Czytaj dalej
IT
Security Operations Center – Skuteczna ochrona przed cyberzagrożeniami
Czytaj dalej
Outsourcing IT
Obsługa informatyczna firm — dlaczego warto w nią zainwestować?
Czytaj dalej
Outsourcing IT
Audyt informatyczny — wszystko, co musisz o nim wiedzieć
Czytaj dalej
Branża TSL
ESG – co to takiego i kto musi wdrożyć raportowanie niestandardowe?
Czytaj dalej
Instalacje
Elektroniczna ewidencja czasu pracy w firmie
Czytaj dalej
Branża TSL
Porozumienie Euro 7 – od kiedy obowiązuje i co dokładnie zmienia?
Czytaj dalej
Outsourcing IT
Zatrudnienie specjalistów vs outsourcing usług informatycznych — co wybrać?
Czytaj dalej
Instalacje
Instalacje niskoprądowe — Słownik pojęć
Czytaj dalej
Outsourcing IT
Opieka informatyczna – 5 najczęstszych pytań od klientów
Czytaj dalej
IT
Własne centrum danych czy kolokacja serwerów?
Czytaj dalej
Dofinansowania
Bon dla nauczycieli na laptopa – najważniejsze informacje