- NIS2 -

Network and Information Security Directive 2
NIS2 – nowa dyrektywa UE o cyberbezpieczeństwie
 

NIS2 (Network and Information Security Directive 2) to zaktualizowana dyrektywa Unii Europejskiej, która ma na celu znaczące wzmocnienie cyberbezpieczeństwa w państwach członkowskich. Została przyjęta w grudniu 2022 roku i zastępuje pierwszą wersję dyrektywy NIS z 2016 roku. Każde państwo członkowskie UE musi wdrożyć ją do krajowego porządku prawnego do października 2024 roku.



Co reguluje NIS2?
 

NIS2 definiuje nowe, rozszerzone wymagania dotyczące bezpieczeństwa systemów informacyjnych, zarządzania ryzykiem, reagowania na incydenty oraz zgłaszania naruszeń bezpieczeństwa. 

Główne obszary regulacji: 
  • Ochrona infrastruktury krytycznej, w tym:
    - Energetyka
    - Transport
    - Bankowość i finanse
    - Ochrona zdrowia
    - Wodociągi i kanalizacja
    - Sektor cyfrowy (np. dostawcy chmur, platformy internetowe)
    - Telekomunikacja
    - Administracja publiczna 
  • Zarządzanie ryzykiem i reagowanie na incydenty:
    - Wdrożenie polityk bezpieczeństwa
    - Systemy ochrony IT
    - Procedury ciągłości działania
    - Zgłaszanie incydentów w ciągu 24 godzin od wykrycia, pełny raport w ciągu 72 godzin 
  • Wymogi organizacyjne i techniczne
    - Szkolenia personelu
    - Audyty i kontrole
    Regularna ocena ryzyka
 

 
Kogo dotyczy NIS2?
 

NIS2 znacząco rozszerza zakres podmiotów objętych regulacją. Obejmuje m.in.:
  • Operatorów usług kluczowych: energetyka, transport, finanse, zdrowie, wodociągi
  • Dostawców usług cyfrowych: hosting, chmura, platformy internetowe
  • Instytucje publiczne: administracja centralna i samorządowa
  • Podmioty zarządzające infrastrukturą krytyczną: telekomunikacja, IT, media transmisyjne
Uwaga: Dyrektywa dotyczy również małych i średnich firm, jeśli pełnią istotną rolę w infrastrukturze krytycznej.
Kluczowe obowiązki organizacji
 
  • Ocena ryzyka i środki zapobiegawcze - Organizacje muszą identyfikować zagrożenia i wdrażać odpowiednie zabezpieczenia, takie jak zapory, systemy wykrywania naruszeń, segmentacja sieci, itp.
  • Polityki i procedury bezpieczeństwa: Każdy podmiot musi posiadać udokumentowane polityki ochrony danych, zarządzania incydentami oraz plany awaryjne.
  • Zgłaszanie incydentów: Wstępne zgłoszenie w ciągu 24h, pełny raport w ciągu 72h od wykrycia
  • Odpowiedzialność zarząduZarząd firmy ponosi osobistą odpowiedzialność za zapewnienie zgodności z dyrektywą NIS2.
  • Audyty i kontroleOrgany nadzorcze mogą przeprowadzać kontrole zgodności i nakładać sankcje w przypadku uchybień.
Szkolenia i rozwój kompetencjiFirmy muszą inwestować w szkolenia z zakresu cyberbezpieczeństwa dla swoich pracowników.





Organy nadzorcze NIS2
 
W każdym państwie UE musi zostać wyznaczony organ odpowiedzialny za wdrożenie i nadzór nad przepisami NIS2. W Polsce może to być np. Ministerstwo Cyfryzacji lub specjalnie utworzony podmiot.
Na poziomie unijnym działania koordynuje ENISA (Europejska Agencja ds. Cyberbezpieczeństwa).





Kary za nieprzestrzeganie NIS2
 
Organizacje nieprzestrzegające przepisów NIS2 muszą się liczyć z surowymi sankcjami:
  • Kary finansowe – mogą sięgać kilku milionów euro
  • Nakazy działań naprawczych
  • Zatrzymanie działalności w skrajnych przypadkach




Rejestracja i zgodność
 
Choć nie ma obowiązku formalnej rejestracji, organizacje muszą być gotowe na kontrole, audyty i raportowanie. W niektórych krajach mogą być wymagane okresowe sprawozdania dotyczące zgodności z dyrektywą.