Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. NIS 2 – wymogi w zakresie cyberbezpieczeństwa

NIS 2 – wymogi w zakresie cyberbezpieczeństwa

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

W 2023 roku weszła w życie Unijna Dyrektywa NIS 2, która zmienia kształt cyberbezpieczeństwa w Unii Europejskiej. Od daty wejścia Dyrektywy w życie, czyli od 16 stycznia 2023 r. wszystkie państwa Unii Europejskiej mają 21 miesięcy na wprowadzenie jej postanowień do prawa krajowego. Nowe przepisy powinny być stosowane w państwach członkowskich już końcem 2024 roku. 

Dyrektywa NIS 2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne i zastępuję go podziałem na podmioty ważne oraz podmioty kluczowe. 

Nowa dyrektywa, jako podmioty kluczowe określa organizacje o krytycznym znaczeniu dla funkcjonowania gospodarki i społeczeństwa, czyli podmioty z najważniejszych sektorów gospodarki takich jak:

  • Sektor energetyczny (np. dostawcy energii elektrycznej, gazu, ciepłownictwo).
  • Sektor transportu (np. porty lotnicze, zarządcy infrastruktury kolejowej, operatorzy transportu drogowego i morskiego).
  • Sektor bankowy i infrastruktury rynków finansowych.
  • Sektor ochrony zdrowia (np. szpitale, producenci urządzeń medycznych).
  • Zaopatrzenie w wodę pitną i gospodarka ściekowa.
  • Sektor publiczny (np. instytucje rządowe i administracja centralna).
  • Infrastruktura cyfrowa (np. dostawcy usług DNS, operatorzy centrów danych, dostawcy chmury obliczeniowej, rejestry domen).

Natomiast do kategorii podmiotów ważnych zalicza się podmioty o istotnym znaczeniu dla funkcjonowania gospodarki, ale nie tak krytyczne jak podmioty kluczowe. Należą do nich m.in.:

  • Dostawcy usług telekomunikacyjnych.
  • Podmioty z sektora pocztowego i kurierskiego.
  • Przemysł chemiczny i produkcja wyrobów elektronicznych.
  • Podmioty przetwarzające odpady.
  • Przedsiębiorstwa dostarczające usługi zarządzania ICT dla innych podmiotów (np. MSP).

Nowe przepisy nie obejmują wszystkich przedsiębiorstw, przy kwalifikacji podmiotów zastosowano również kryterium wielkości przedsiębiorstwa. Jako podmioty kluczowe można zakwalifikować duże przedsiębiorstwa to znaczy takie, które zatrudniają co najmniej 250 pracowników, a ich roczny obrót przekracza 50 milionów euro, z kolei do podmiotów ważnych zalicza się średnie przedsiębiorstwa tj. podmioty zatrudniające co najmniej 50 pracowników, o rocznym obrocie powyżej 10 mln euro.

Jednak niezależnie od wielkości, niektóre organizacje (np. w sektorze energetycznym czy infrastruktury cyfrowej) automatycznie podlegają przepisom dyrektywy, jeśli ich działalność jest kluczowa dla bezpieczeństwa publicznego lub gospodarki.

Obowiązki przedsiębiorców w zakresie Dyrektywy NIS 2 

Dyrektywa NIS 2 wprowadza regulacje dotyczące funkcjonowania przedsiębiorców. Nowe obowiązki dotyczą zarówno podmiotów kluczowych, jak i tych uznanych za podmioty ważne. W zasadzie nowe obowiązki podmiotów z obydwu tych kategorii nie różnią się między sobą, jednak co istotne obowiązki te mają uwzględniać w specyfikę danego podmiotu. Prześledźmy zatem najważniejsze zmiany:

  • Nowe środki zarządzania ryzykiem w cyberbezpieczeństwie 

Zgodnie z Dyrektywą, podmioty nią objęte mają obowiązek wdrożyć odpowiednie i proporcjonalne środki techniczne, organizacyjne i operacyjne. Celem takich działań jest zmniejszenie ryzyka dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności. Środki te mają uwzględniać wszelkie możliwe zagrożenia oraz chronić przed incydentami, a także zapobiec wpływowi tych incydentów na końcowych odbiorców usług. 

Środki wdrożone przez przedsiębiorstwa powinny polegać, co najmniej na wprowadzeniu polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, polityki i procedur w zakresie stosowania kryptografii i szyfrowania, wprowadzenie podstawowych praktyk związanych z szkoleniami w zakresie cyberbezpieczeństwa, odpowiedniego zarządzania kopiami zapasowymi oraz przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnych, a także bieżącej obsługi incydentów.

  • Obowiązek zgłaszania incydentów

Nowa regulacja dotyczy zgłaszania incydentów poważnych, żeby lepiej zrozumieć o jakie dokładnie zdarzenia chodzi warto przyjrzeć się definicja zawartym w dyrektywie. 

Dyrektywa NIS 2, jako incydent wskazuje każde zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych oraz usług oferowanych poprzez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem. 

Natomiast incydentem poważnym jest takie zdarzenie, które ma istotny wpływ na świadczone usługi, spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe, a także taki, który wpłynął lub jest w stanie wpłynąć na inne podmioty powodując znaczne szkody majątkowe lub niemajątkowe. 

Podczas zgłaszania incydentu podmiot zgłaszający powinien pamiętać, że kluczowym jest zgłoszenie takiego zdarzenia bez zbędnej zwłoki, a także w stosownych okolicznościach należy pamiętać o poinformowaniu odbiorców usług o incydentach, które mogą mieć dla nich niekorzystne skutki, a także wskazaniu im środków zaradczych z jakich powinni skorzystać w danej sytuacji. 

Zgłoszenie takiego incydentu należy przesłać do CERT Polska (CSIRT NASK) za pośrednictwem elektronicznego formularza umieszczonego na platformie internetowej, z zastosowaniem zawartych tam instrukcji. 

  • Dobrowolne zgłaszanie informacji ważnych

Jako uzupełnienie obowiązków związanych z zgłaszaniem incydentów ważnych Dyrektywa wskazuje możliwość dobrowolnego zgłaszania informacji, które mogą okazać się istotne w zakresie cyberbezpieczeństwa. 

Informacje takie mogą przekazywać nie tylko pomioty ważne i kluczowe, ale również inne podmioty nieobjęte dyrektywą. Dobrowolne zgłoszenia, podobnie jak obowiązkowe zgłoszenia incydentów, należy przekazać do CSIRT i są one rozpatrywane zgodnie z tą samą procedurą. 

Powody wprowadzenia regulacji

Dyrektywa NIS 2 zmienia istniejące dotąd ramy cyberbezpieczeństwa w Unii Europejskiej poprzez wprowadzenie nowych zadań dla państw członkowskich, zmianę niektórych kompetencji organów unijnych, a także rozszerzenie zakresu pomiotów, których dotyczą regulacje dotyczące bezpieczeństwa. 

Wprowadzone zmiany są reakcją na zwiększone zagrożenie Europy na płaszczyźnie związanej z cyberbezpieczeństwem. Ma ona na celu ustanowienie jednolitych ram prawnych dotyczących wspólnego przeciwdziałania niebezpieczeństwom, a także zobowiązuje kraje członkowskie do rozszerzenia polityki związanej z działaniami w obszarze bezpieczeństwa sieci i systemów informatycznych.

Dyrektywa nakazuje, aby każde państwo członkowskie przyjęło krajową strategię cyberbezpieczeństwa, która obejmuje polityki dotyczące bezpieczeństwa łańcucha dostaw, zarządzania podatnością na zagrożenia oraz edukacji i świadomości w zakresie cyberbezpieczeństwa. Państwa członkowskie muszą również ustanowić i regularnie aktualizować wykaz operatorów usług kluczowych, zapewniając zgodność tych podmiotów
z wymogami dyrektywy.

Obowiązek wprowadzenia nowych przepisów również przez Polskę wynika bezpośrednio z zasad stosowania prawa unijnego. W związku z tym, że NIS 2 jest dyrektywą kraje członkowskie, w tym również Polska maja obowiązek zastosowania się do zawartych w niej regulacji i włączenia ich do prawa krajowego w zakreślonym w dyrektywie terminie. 

NIS 2 weszła w życie 16 stycznia 2023 r. wszystkie państwa członkowskie miały obowiązek wdrożyć postanowienia dyrektywy do krajowych porządków prawnych do dnia 17 października 2024 r. na przykład poprzez ustawę. Regulacje zawarte w dyrektywie są jedynie minimalnymi wymogami i każde państwo członkowskie może dostosować je w pewien sposób do wewnętrznego porządku prawnego, a także według potrzeb rozszerzyć o dodatkowe zasady. 

Po wdrożeniu regulacji wskazanych w dyrektywie państwa członkowskie muszą sporządzić i przedstawić wykaz podmiotów kluczowych i ważnych, mają na to czas do dnia 17 kwietnia 2025 r. 

Od tego momentu postanowienia dyrektywy obowiązywać będą w wszystkich podmiotach uwzględnionych w wykazie, a przedsiębiorcy z obszaru podmiotów kluczowych i ważnych będą zobligowani do wdrożenia rozwiązań pozwalających na rozwój polityki bezpieczeństwa i prowadzenie szerokiej analizy ryzyka. 

Podstawa prawna:

  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).

Materiał opracowany przez zespół „Tak Prawnik”.
Właścicielem marki „Tak Prawnik” jest BZ Group Sp. z o.o.

Polecamy:

Jak sprawdzić NIP, czyli Numer Identyfikacji Podatkowej?

Kontrola stanu zabezpieczenia informacji niejawnyc...
Maj 2025
02
Piątek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  4. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Kontrola stanu zabezpieczenia informacji niejawnych - najważniejsze…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Targi Pracy Politechniki Białostockiej 2025
InnoGlobal zaprasza na spotkanie: Ochrona Innowacji w DeepTech
IV Akademia Inwestora – Łączymy Kapitał z Biznesem
Już wkrótce VII Kongres MIT Sloan Management Review Polska
II EDYCJA FORUM LUDZIE NA PRODUKCJI 2025 Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów