07.04.2025 / Bezpieczeństwo, Prawo

NIS 2 - bezpieczeństwo IT bez kompromisów

Grafika przedstawiająca nowoczesne tło technologiczne z napisem „NIS 2” – ilustracja odnosząca się do dyrektywy o cyberbezpieczeństwie NIS 2 dla firm.

W związku z tym, iż w ostatnich latach obserwujemy znaczny wzrost cyberataków, Unia Europejska podejmuje szereg działań mających na celu wzmocnienie odporności cybernetycznej UE. Zaliczamy do nich m.in. dyrektywę NIS 2 zobowiązującą państwa członkowskie do podnoszenia poziomu cyberbezpieczeństwa.

Czym jest dyrektywa NIS 2 i jaki jest jej cel?

Dyrektywa NIS 2

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

To zaktualizowana wersja pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa czyli NIS z 16 lipca 2016 roku.

Link do dyrektywy NIS 2: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555

Celem dyrektywy jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, aby poprawić funkcjonowanie rynku wewnętrznego. Jednak, by lepiej zrozumieć cel warto przytoczyć definicję cyberbezpieczeństwa.

Cyberbezpieczeństwo

Działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami, czyli wszelkimi potencjalnymi okolicznościami, zdarzeniami lub działaniami, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie na nie wpłynąć.

Źródło: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32019R0881

Co określa dyrektywa NIS 2?

  • obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa (pojedyncze punkty kontaktowe) oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT);
  • środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów spoczywające na podmiotach w rodzaju tych, o których mowa w załączniku I lub II, jak również na podmiotach zidentyfikowanych jako podmioty o charakterze krytycznym na podstawie dyrektywy (UE) 2022/2557;
  • zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie;
  • obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.

Kogo dotyczy dyrektywa NIS 2 i od kiedy obowiązuje?

Dyrektywa NIS 2 obowiązuje od 17 października 2024 roku. Aktualnie trwają prace nad nowelizacją Ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

Grafika informacyjna pokazująca kryteria dotyczące firm objętych dyrektywą NIS 2 – liczba pracowników, roczny obrót i suma bilansowa.

Zgodnie z załącznikami I i II dyrektywy podmioty, które muszą dostosować się do nowych regulacji to:

Podmioty kluczowe

  • Energetyka: energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz, wodór
  • Transport: lotniczy, kolejowy, wodny, drogowy
  • Bankowość
  • Infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Woda pitna
  • Ścieki
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT (między przedsiębiorstwami)
  • Podmioty administracji publicznej
  • Przestrzeń kosmiczna

Podmioty ważne

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja
  • Dostawcy usług cyfrowych
  • Badania naukowe

Kwalifikowani dostawcy usług zaufania i rejestrów nazw domen najwyższego poziomu, a także dostawcy usług DNS stosują dyrektywę niezależnie od ich wielkości.

Więcej o podmiotach podlegających i niepodlegających w art. 2 i 3 NIS 2.

Obowiązki nakładane przez dyrektywę:

Podmioty kluczowe i ważne zobowiązane są do wdrażania adekwatnych i proporcjonalnych środków technicznych, operacyjnych oraz organizacyjnych, które pozwolą na skuteczne zarządzanie ryzykiem związanym z bezpieczeństwem sieci i systemów informatycznych wykorzystywanych do prowadzenia działalności lub świadczenia usług. Ponadto środki te muszą wpływać na minimalizowanie skutków ewentualnych incydentów dla odbiorców tych usług oraz innych powiązanych podmiotów.

Dyrektywa daje swobodę w ich doborze. Mają one jednak bazować na podejściu uwzględniającym wszystkie zagrożenia. Minimum jakie należy zapewnić to:

  • polityka analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • obsługa incydentu;
  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Sposoby kontroli i kary

Sposoby kontroli:

  • Kontrole (na miejscu i zdalne) prowadzone przez specjalistów;
  • Audyty bezpieczeństwa prowadzone przez niezależne instytucje lub właściwy organ;
  • Skany bezpieczeństwa;
  • Wnioski o udzielenie informacji niezbędnych do oceny środków zarządzania ryzykiem przyjętych przez dany podmiot;
  • Wnioski o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa.

Kary:

Kary nakładane na podmioty powinny być: skuteczne, proporcjonalne i odstraszające.

Infografika przedstawiająca wysokość kar finansowych dla firm objętych dyrektywą NIS 2 – podmioty kluczowe i podmioty ważne.

W przypadku podmiotów kluczowych oprócz kar pieniężnych istnieje możliwość:

  • Tymczasowego zawieszenia certyfikacji lub zezwolenia na świadczenie usług
  • nałożenia tymczasowego zakazu pełnienia funkcji zarządczych osobie fizycznej wykonującej obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego w danym podmiocie

Co jest brane pod uwagę przy ustaleniu administracyjnej kary pieniężnej?

  • Waga naruszenia i znaczenie naruszonych przepisów (powtarzalność, niezgłoszenie lub nieusunięcie incydentów i uchybień, utrudnianie kontroli, dostarczenie nieprawdziwych lub rażąco niedokładnych informacji);
  • Czas trwania naruszenia;
  • Wcześniejsze istotne naruszenia;
  • Spowodowane szkody;
  • Umyślny lub nieumyślny charakter naruszenia;
  • Zastosowane środki zapobiegawcze lub ograniczające;
  • Stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji;
  • Stopień współpracy z organami.

Chociaż termin na wdrożenie dyrektywy minął 17 października 2024 roku, prace legislacyjne w Polsce nadal trwają. Mimo że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) jeszcze nie została przyjęta, podmioty objęte dyrektywą NIS 2 powinny podejmować działania przygotowawcze takie jak:

  • sprawdzenie czy organizacja podlega pod NIS 2;

  • przygotowanie planu wdrożenia zgodności z dyrektywą;

  • przeprowadzenie audytu bezpieczeństwa i zarządzania ryzykiem;

  • zbieranie i dokumentowanie działań jako dowody należytej staranności.