Nowa dyrektywa NIS 2 wzmacnia cyberbezpieczeństwo w UE, wprowadzając surowsze wymogi i rozszerzając zakres regulacji. Poniżej omawiamy kluczowe aspekty prawne oraz obowiązki, jakie nakłada na przedsiębiorstwa.
Nowa unijna dyrektywa NIS 2 (Network and Information Systems Directive 2) ma na celu wzmocnienie poziomu cyberbezpieczeństwa firm i instytucji w krajach członkowskich. Nowe przepisy wprowadzają bardziej rygorystyczne wymogi dotyczące cyberbezpieczeństwa oraz poszerzają zakres podmiotów objętych regulacjami. Implementacją dyrektywy w Polsce będzie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wkrótce zostanie uchwalona i zacznie obowiązywać. Czasu na dostosowanie się firm do wymogów zostało już niewiele.
Rozszerzenie zakresu podmiotów objętych dyrektywą
Nowa dyrektywa znacząco poszerza katalog podmiotów objętych jej regulacjami. O ile poprzednia obejmowała głównie usługi kluczowe (m.in. energetyka, transport, finanse czy ochrona zdrowia), to NIS 2 i nowelizacja KSC rozszerza swoje działanie na nowe sektory, takie jak:
- Operatorzy sieci łączności elektronicznej;
- Producenci sprzętu medycznego, elektrycznego i elektronicznego;
- Gospodarowanie odpadami;
- Odprowadzanie ścieków;
- Producenci i dystrybutorzy chemikaliów;
- Producenci i dystrybutorzy żywności.
Obowiązki podmiotów objętych dyrektywą
Podmioty objęte dyrektywą NIS 2 są zobowiązane do wdrożenia szeregu środków bezpieczeństwa oraz spełnienia określonych obowiązków prawnych, takich jak:
- Ocena ryzyka i zarządzanie nim – regularne przeprowadzanie analizy ryzyka i wdrażanie środków minimalizujących skutki zagrożeń;
- Raportowanie incydentów – zgłaszanie incydentów o istotnym wpływie na działalność do odpowiednich organów w ciągu 24 godzin od ich wykrycia;
- Wdrożenie polityki ciągłości działania – opracowanie i wdrożenie planów zapewniających ciągłość działania w przypadku wystąpienia incydentu.
Kary za naruszenia
NIS 2 wprowadza surowsze sankcje za nieprzestrzeganie wymogów dyrektywy. Przewidziane są kary administracyjne, które mogą sięgać nawet 10 milionów euro lub 2% rocznego globalnego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
Wyzwania dla przedsiębiorców
Implementacja dyrektywy NIS 2 wiąże się dla firm z licznymi wyzwaniami, w tym:
- Konieczność dostosowania wewnętrznych procedur i systemów IT do nowych wymogów;
- Zwiększenie nakładów finansowych na cyberbezpieczeństwo;
- Potrzeba przeszkolenia personelu, w tym kadry zarządzającej, w zakresie wykrywania i reagowania na incydenty oraz podstawowych zasad cyberhigieny.
Dyrektywa NIS 2 to kolejny krok w kierunku wzmocnienia bezpieczeństwa przedsiębiorstw w obliczy rosnących zagrożeń cyberatakami, kradzieżą danych i pieniędzy. Nowe regulacje nakładają szereg obowiązków na przedsiębiorstwa, ale jednocześnie tworzą spójne ramy ochrony przed cyberzagrożeniami. Firmy, które odpowiednio wcześnie dostosują się do nowych przepisów, zyskają większą odporność na cyberzagrożenia oraz unikną wysokich kar finansowych za nieprzestrzeganie regulacji.
Urszula Giercarz
Kancelaria Prawna Anna Giercarz, prawniczka,
specjalistka ds. ochrony danych osobowych
i NIS 2.
Arkadiusz Stawczyk
Audytor, trener, doradca. Audytor wiodący ISO 27001. Autor licznych polityk
i procedur związanych z cyberbezpieczeństwem. W zakresie szkoleń
i doradztwa, specjalizuje się w tematach związanych z cyberzagrożeniami,
bezpieczeństwem informacji i ochroną danych osobowych.
