Zapraszamy do kontaktu:(+48) 22 113 14 51

Dyrektywa NIS 2 – czym jest i kogo dotyczy?

Dyrektywa NIS2 (Network and Information Security Directive) jest odpowiedzią Unii Europejskiej na rosnące zagrożenia cyberbezpieczeństwa przedsiębiorstw.
Autor:
Paulina Ryndak
Corporate Services Senior Consultant
Maria Matyka
Senior Corporate Services Consultant

Dyrektywa NIS2 to rozszerzenie i aktualizacja dyrektywy NIS 1, która wzmacnia, harmonizuje i co ważne, rozszerza - zarówno w zakresie obowiązków, jak i objęcia nimi nowych podmiotów - regulacje związane z cyberbezpieczeństwem i cyberodpornością przedsiębiorstw Unii Europejskiej.

Wyzwania w obszarze cyberbezpieczeństwa

Corocznie do wiadomości publicznej docierają nowe informacje o skutecznych cyberatakach. Jednym z najsłynniejszych jest atak na sieć hoteli Marriott z 2014 roku (podany do wiadomości publicznej dopiero w 2018 roku), na skutek którego hakerzy uzyskali dostęp do danych klientów sieci i którego koszty obejmowały kary za naruszenie regulacji dot. ochrony danych osobowych, odszkodowania w procesach zbiorowych oraz wydatki prawne.

Wyciek danych osobowych nie jest jednak jedynym celem cyberataków – priorytetem może być także:

  • wykradzenie informacji rządowych (atak na amerykańską firmę SolarWinds, której klientami były min. instytucje rządowe – 2018 r.);
  • zakłócenie ciągłości świadczenia usług (na skutek ataku na Sony PlayStation przerwa w działaniu serwisu firmy trwała niemal miesiąc, wykradziono także dane użytkowników - 2018);
  • wyłudzenie okupu (niedawny głośny w Polsce atak na ALAB Laboratoria – zarząd spółki podjął decyzję o odmowie zapłaty okupu, w związku z czym ujawniono wrażliwe dane osobowe pacjentów firmy).

Założenia NIS 2

Projektując dyrektywę NIS 2 Komisja Europejska postawiła sobie za cel poprawienie cyberodporności kluczowych przedsiębiorstw na obszarze całej UE. Jak pokazują przytoczone powyżej przykłady, cyberataki realnie mogą utrudnić prowadzenie działalności gospodarczej, generować straty finansowe i podważać zaufanie klientów i użytkowników do firmy.

Branże i podmioty objęte nowymi obowiązkami

Odpowiedź na pytanie o zakres podmiotowy regulacji NIS 2 jest złożona. Sprowadzając je do jednej ogólnej reguły, należałoby przyjąć, że  analizę pod kątem podlegania pod regulacje NIS 2 powinny przeprowadzić wszystkie podmioty związane z sektorami gospodarki wskazanymi poniżej, które jednocześnie spełniają kryteria podmiotu średniego lub dużego[1]. Chodzi więc o podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.

Ważne

1. Podmioty kluczowe

Dyrektywa wprowadza pojęcie podmiotu kluczowego (essential entities) oraz pomiotu ważnego (important entities).

Do pierwszej kategorii zaliczają się podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. W załączniku wyszczególniono 10 sektorów. Są to:

  1. energetyka;
  2. transport;
  3. bankowość i infrastruktura rynków finansowych;
  4. ochrona zdrowia;
  5. woda pitna;
  6. ścieki;
  7. infrastruktura cyfrowa;
  8. zarządzanie usługami ICT;
  9. administracja publiczna;
  10. przestrzeń kosmiczna.

Z pewnymi wyjątkami (przykładem mogą być tu dostawcy usług zaufania) podmiotem kluczowym będą tylko podmioty duże, zatrudniające więcej niż 250 osób, oraz których obroty roczne przekraczają 50 mln euro, i/lub których roczna suma bilansowa przekracza 43 mln euro[2].

2. Podmioty ważne

Drugą kategorią podmiotów wprowadzoną przez NIS 2 są podmioty ważne, do których zaliczaj się:

  • podmioty średnie[3], które jednocześnie działają we wskazanych powyżej, kluczowych sektorach gospodarki;
  • podmioty średnie lub duże[4], które jednocześnie działają w sektorach ważnych (other critical sectors) określonych w Załączniku II do NIS 2. Zaliczają się do nich:
  • usługi pocztowe i kurierskie;
  • gospodarowanie odpadami;
  • produkcja, przetwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego;
  • dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych;
  • badania naukowe.

Powyższe założenia NIS 2 mogą być modyfikowane na szczeblu krajowym. Obecny projekt polskiej ustawy wdrażającej NIS 2[5] rozszerza zakres podmiotowy regulacji poprzez:

  • włączenie do podmiotów kluczowych, przedsiębiorstw spełniających kryteria podmiotu dużego, które jednocześnie działają w sektorach gospodarki z załącznika II do NIS 2 (wskazane powyżej w punkcie 2);

a także

  • włączeniu niektórych sektorów z załącznik II do NIS 2 do kategorii sektorów kluczowych – dotyczy to w szczególności sektora produkcji.

Wskazany projekt znajduje się obecnie w fazie konsultacji społecznych i opiniowania.  

Ważne

Istotnym czynnikiem, który wpłynie na rozpowszechnienie standardu ochrony przewidzianej NIS 2 jest fakt, że podmioty kluczowe i ważne będą zobowiązane do zapewnienia cyberbezpieczeństwa swoich łańcuchów dostaw. W konsekwencji będą one wymagać od swoich dostawców i klientów stosowania odpowiednich standardów, nawet jeśli same te podmioty nie będą identyfikowane jako podmiot kluczowy lub ważny.

Dyrektywa NIS 2 wprowadza zasadę samoidentyfikacji – to przedsiębiorca musi samodzielnie zbadać swój status w kontekście definicji dużego i średniego podmiotu oraz sektora świadczonych przez niego usług.

Terminy

Termin implementacji NIS 2 do krajowego porządku prawnego przypada 18 października 2024 roku. Tymczasem projekt nowelizujący Ustawę o krajowym systemie cyberbezpieczeństwa znajduje się obecnie w fazie konsultacji społecznych i opiniowania. Należy się zatem spodziewać opóźnienia we wdrożeniu unijnej regulacji do polskiego porządku prawnego. Tym niemniej, począwszy od 18 października 2024 roku polskie przedsiębiorstwa powinny być gotowe do wdrożenia odpowiedniego poziomu cyberbezpieczeństwa. Wdrożenie odpowiednich środków technicznych i organizacyjnych, świadomość ryzyk oraz systematyczne audyty stanowią klucz do skutecznego spełnienia wymagań NIS 2.


[1] W rozumieniu załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.

[2] Załącznik I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.

[3] W rozumieniu wskazanych powyżej przepisów - podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.

[4] W rozumieniu wskazanych powyżej przepisów - podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.

[5] Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa obecnie jest na etapie konsultacji publicznych: https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055201#13055201, dostęp: 26.09.2024 r.

Skrócony formularz
Zamów poradę online

Administratorem danych osobowych jest KR GROUP Sp. z o.o. z siedzibą w Warszawie. Twoje dane przetwarzamy, aby skontaktować się z Tobą, odpowiedzieć na wysłane do nas zapytanie lub przygotować wstępną ofertę. Podstawą prawną przetwarzania Twoich danych jest realizacja naszych prawnie uzasadnionych interesów oraz podejmowanie działań zmierzających do zawarcia i wykonania umowy. Przysługuje Ci prawo dostępu do treści Twoich danych, prawo ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do przeniesienia danych, prawo do wniesienia sprzeciwu wobec przetwarzania Twoich danych oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji o przetwarzaniu danych znajduje się pod linkiem: Polityka prywatności.

usersearthmagnifiercrossmenuarrow-right