Dyrektywa NIS2, będąca aktualizacją NIS1, dotyczy obszaru cyberbezpieczeństwa na terytorium Unii Europejskiej. Wprowadza istotne zmiany, rozszerzając zakres podmiotów objętych regulacjami cybersecurity. Tym samym pojawiają się również dodatkowe, nowe wymagania dla podmiotów kluczowych z sektora publicznego i prywatnego.  

Obowiązki, sektory, implementacja i konsekwencje – dowiedz się, co niesie za sobą dyrektywa NIS2 w Polsce, a także jak przygotować swoją firmę do jej wdrożenia.

Co to jest NIS2 i jak wpływa na bezpieczeństwo publiczne? Wprowadzenie, definicja

Dyrektywa NIS2 (Network and Information Systems Directive) to aktualizacja wcześniejszej dyrektywy NIS1.

Została wprowadzona przez Unię Europejską w celu podniesienia poziomu cybersecurity w państwach członkowskich. Data publikacji tych nowych regulacji UE w zakresie cyberbezpieczeństwa to 14.12.2022, a data ich wdrożenia wyznaczona była na 17.10.2024 roku.

Wprowadza do państw członkowskich Unii Europejskiej szereg istotnych zmian w porównaniu do swojego poprzednika, rozszerzając zakres obowiązków oraz wprowadzając nowe wymagania – zarówno dla podmiotów kluczowych z sektora publicznego, jak i prywatnego, o czym dowiesz się z tego artykułu.

Dyrektywa ma zapewnić odpowiedni poziom ochrony w kluczowych dla funkcjonowania gospodarki obszarach, takich jak: energetyka, transport czy wśród dostawców usług cyfrowych.

Cel NIS2. Dlaczego dyrektywa jest tak ważna dla cyberbezpieczeństwa w Unii Europejskiej?

Dyrektywa NIS2 ma na celu stworzenie i bieżące działanie na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa, w tym zabezpieczeń sieci i systemów informacyjnych w UE.  

Jest odpowiedzią na rosnące zagrożenia cybernetyczne i uregulowanie działań w przypadku podatności na ataki i problemy cyfrowe, które mają realny wpływ na bezpieczeństwo narodowe, stabilność gospodarki oraz ochronę prywatności obywateli.  

NIS2 wprowadza nowe obowiązki na podmioty kluczowe w państwach członkowskich. Muszą zapewnić i zadbać o odpowiednią ochronę przed cyberatakami, ale także o możliwość szybkiego reagowania na incydenty i minimalizowanie ich skutków. Jest to szczególnie istotne w sprawie środków na rzecz cyfryzacji przedsiębiorstw.

Co zmienia dyrektywa NIS2 w porównaniu do NIS1?

W porównaniu z NIS1, dyrektywa NIS2 wnosi szereg istotnych zmian.  

1. Zwiększa zakres podmiotów kluczowych objętych regulacjami cyberbezpieczeństwa.
2. Rozszerza wymagania dotyczące zarządzania ryzykiem i odpowiedzialności za cyberbezpieczeństwo.  
3. Wprowadza nowe zasady raportowania incydentów oraz monitorowania zabezpieczeń.  
4. NIS2 oznacza także ostrzejsze kary dla firm, które nie spełnią wymagań dyrektywy. Ma to na celu zmobilizowanie przedsiębiorstw działających w UE do podejmowania skutecznych działań w zakresie ochrony przed cyberzagrożeniami.

Zakres cyberbezpieczeństwa w NIS2. Jakie firmy podlegają pod NIS2?

Sektory objęte NIS2 – energia, transport, zdrowie, usługi cyfrowe. Infrastruktura krytyczna

Dyrektywa NIS2 obejmuje wiele sektorów, które są niezbędne dla funkcjonowania gospodarki i społeczeństwa.  

W szczególności dotyczy to wybranych branży, takich jak: energetyczna, transportowa (również w sprawie środków wpływających na bezpieczeństwo łańcucha dostaw), ochrona zdrowia, bankowość, a także świadczenie usług cyfrowych i usług pocztowych.  

Sektory te są uznawane za „krytyczne” z punktu widzenia infrastruktury i funkcjonowania całych państw. Dlatego ich cyberbezpieczeństwo jest kluczowe dla utrzymania stabilności oraz bezpieczeństwa państw członkowskich UE.

Kogo będzie obowiązywać NIS2? Kryteria kwalifikacji jako podmioty „kluczowe” i podmioty „ważne”

Dyrektywa NIS2 wprowadza kryteria, które umożliwiają określenie, które firmy są „kluczowe”, a które podmioty „ważne” w kontekście cyberbezpieczeństwa.  

W przypadku podmiotów kluczowych chodzi o te firmy, które pełnią niezbędną rolę w zapewnianiu bezpieczeństwa narodowego i stabilności gospodarki, jako operatorzy usług podstawowych.  

Podczas prowadzenia działalności polegającej na byciu operatorem usług kluczowych, trzeba spełniać szereg wymogów, w tym:

• przeprowadzać regularne analizy w celu zarządzania ryzykiem oraz tworzyć politykę analizy ryzyka,  
• implementować odpowiednie zabezpieczenia,
• stosować najlepsze praktyki zarządzania cyberbezpieczeństwem, w tym ochrony i bezpieczeństwa informacji w chmurze.

Przedsiębiorstwa uznawane za podmioty „ważne” pełnią również istotną rolę, ale ich wpływ na bezpieczeństwo jest mniejszy niż w przypadku firm „kluczowych”.

→ Więcej informacji o kryteriach kwalifikacji i branżach na stronie rządowej Biznes.gov.pl

Jakie są wymagania Dyrektywy NIS2? Nowe obowiązki nie tylko dla operatorów usług kluczowych

Zarządzanie ryzykiem cyberbezpieczeństwa w firmach, a NIS2

Jednym z najważniejszych obowiązków wynikających z dyrektywy jest zarządzanie ryzykiem cyberbezpieczeństwa.  

Firmy w państwach członkowskich muszą przeprowadzać więc szczegółowe analizy ryzyka w kontekście cyberbezpieczeństwa. Wiąże się to z koniecznością identyfikacji i monitoringu luk w zabezpieczeniach, w tym przeprowadzania regularnych testów penetracyjnych.

Dlatego w ramach spełnienia wymagań dyrektywy przedsiębiorstwa powinny wdrażać odpowiednie środki ochrony, takie jak:

• systemy ochrony przed atakami DDoS,  
• monitoring sieci,
• odpowiednie systemy monitoringu i powiadamiania o poważnych incydentach,
• stosowanie zaawansowanych rozwiązań ochrony danych, w tym m.in. zarządzania zdalnego komputerami, aplikacjami i dostępem.

Obowiązki związane z dyrektywą NIS2 w zakresie cyberbezpieczeństwa sieci i systemów informacyjnych

Kolejnym wymaganiem dyrektywy jest zapewnienie odpowiedniego poziomu ochrony sieci oraz systemów informacyjnych.

Dyrektywa wymaga to od firm wdrożenia zaawansowanych technologii ochrony, o których pisaliśmy powyżej. Ważnym elementem jest również aktualizowanie systemów informatycznych.

Wymagania NIS2 dotyczące raportowania, a dobrowolne zgłaszanie incydentów

Dyrektywa nakłada również na firmy obowiązek zgłaszania poważnych incydentów bezpieczeństwa komputerowego.  

Zgłoszenie musi nastąpić w ciągu 24 godzin od wykrycia incydentu. Pełna analiza zdarzenia powinna zostać dostarczona do odpowiednich organów w ciągu 72 godzin.

Dyrektywa NIS2 przewiduje opcję, a nie konieczność zgłaszania incydentów przez podmioty nieobjęte jej rygorystycznymi wymogami.

Przedsiębiorstwa muszą zatem opracować skuteczne procedury wykrywania, klasyfikowania oraz raportowania incydentów, aby spełnić wymagania dyrektywy. Ważnym elementem jest także współpraca z organami krajowymi i europejskimi w celu szybkiego reagowania na incydenty.

NIS2 oznacza konieczność szkoleń dla pracowników w przedsiębiorstwach działających w UE

Dyrektywa NIS2 nakłada obowiązek zwiększania poziomu wiedzy i świadomości użytkowników – poprzez szkolenia dla firm i treningi.

Jaki jest cel takich działań? Chodzi o bezpośredni wpływ na „wyposażenie” pracowników w umiejętności pozwalające na minimalizowanie występowania błędów ludzkich.

Szkolenia mogą odbyć się w zakresie:

• prawidłowej ochrony danych firmowych,  
• rozpoznawania oszustw, w tym zewnętrznych akcji phishingowych – bazujących na technikach manipulacji, w tym wyłudzeniach przez e-mail czy SMS,
• znajomości oraz przestrzegania polityk bezpieczeństwa obowiązujących w organizacji,
• działania zgodnie z prawem wobec pojawienia się poważnych incydentów.

Kto jest odpowiedzialny za implementację NIS2 w firmach?

Za wdrożenie zasad wynikających z dyrektywy w firmach odpowiedzialne są przede wszystkim organy nadzorcze: członkowie zarządów i top management w porozumieniu z działami IT. Muszą wspólnie zapewnić odpowiednią organizację i zasoby do realizacji wymagań dyrektywy.  

Oznacza to, że odpowiedzialność za cyberbezpieczeństwo w firmach spoczywa na najwyższych szczeblach zarządzania.
‍

Implementacja NIS2 w Polsce: Jakie zmiany są wprowadzone Dyrektywą NIS?

Proces legislacyjny i harmonogram wdrożenia dyrektywy w Polsce

Polska, jako członek UE, ma obowiązek implementacji dyrektywy do krajowego prawa.  

Proces legislacyjny w Polsce jest w toku, a wdrożenie dyrektywy do prawa krajowego powinno najprawdopodobniej nastąpić w 2025 roku.  

W ramach implementacji konieczne będzie dostosowanie przepisów krajowych, które pozwolą na skuteczne nadzorowanie przez administrację publiczną pod kątem przestrzegania zasad NIS2 w przedsiębiorstwach i podmiotach publicznych.

Komisja Europejska wydała dodatkowe Rozporządzenie wykonawcze do Dyrektywy, obowiązujące na terenie całej UE:

„ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodologicznych wymogów dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz dalsze określenie przypadków, w których incydent uznaje się za istotny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług przetwarzania w chmurze, dostawców usług centrów danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług, dostawców zarządzanych usług bezpieczeństwa, dostawców internetowych, wyszukiwarek internetowych i platform usług społecznościowych oraz dostawców usług zaufania”.

Wprowadzenie krajowych regulacji na poziomie administracji

W Polsce implementacja dyrektywy będzie wiązała się z tworzeniem nowych przepisów w administracji publicznej, które mają na celu ujednolicenie zasad zarządzania cyberbezpieczeństwem.  

W szczególności chodzi o odpowiednie regulacje dotyczące sektora publicznego, które umożliwią monitorowanie realizacji wymagań dyrektywy w firmach i instytucjach publicznych.  

Ponadto w Polsce zapewne powstaną nowe instytucje odpowiedzialne za nadzór nad realizacją wymogów NIS2.

Zgodność polskich przepisów z unijnymi wymaganiami

Polska musi dostosować swoje przepisy do unijnych wymagań.

Oznacza to konieczność dostosowania krajowego prawa do wymagań security, takich jak:

• zarządzanie ryzykiem w cyberbezpieczeństwie,
• zgłaszanie incydentów,
• czy wdrażanie odpowiednich zabezpieczeń.  

Wiąże się to też z Ustawą o Krajowym Systemie Cyberbezpieczeństwa 2 (UKSC 2).

Kolejny etap prac nad UKSC 2

Kalendarium UKSC 2:

• przyjęcie projektu przez Radę Ministrów i skierowanie do parlamentu – koniec 2024 (opóźnienie),
• proces legislacyjny w Parlamencie RP – 2025 (bez szczegółów).

Zakres UKSC 2:

• implementacja dyrektywy,
• wdrożenie Toolbox5G – zestaw środków dotyczących minimalnej harmonizacji i standaryzacji na poziome UE rozwiązań obemujących bezpieczeństwo sieci 5G,
• realizacja Krajowego Planu Odbudowy i zwiększania odporności.

Zgodność polskich przepisów, również w ramach działania Ministerstwa Cyfryzacji, z unijnymi wymaganiami będzie kluczowa dla utrzymania bezpieczeństwa cybernetycznego w kraju.

Zmiany wynikające z Ustawy o Krajowym Systemie Cyberbezpieczeństwa

1. Doprecyzowanie kryteriów klasyfikacji podmiotów kluczowych i podmiotów ważnych i ich znaczenia.
2. Zmiany w definicji bezpośrednich dostawców zapewniających świadczenie usług zarządzanych w zakresie cyberbezpieczeństwa.
3. Wydłużenie czasu na zgłoszenie wczesnego ostrzeżenia przez przedsiębiorców telekomunikacyjnych z 12h na 24h.
4. Zamiast odwołania do ISO wprowadzenie mapowania norm.
5. Audyt cykliczny co 3 lata wyłącznie dla firm w rejestrze podmiotów kluczowych – poprzednio co 2 lata.
6. Doprecyzowanie środków nadzoru i kontroli oraz procedur z nimi związanych.
7. Modyfikacja przepisów karnych, w tym okresowych kar pieniężnych – eliminacja kary w przypadku braku realizacji przez podmiot czynności wskazanych w ostrzeżeniu.

Konsekwencje niezgodności z NIS2. Kary i sankcje

Kary finansowe za niezgodność z wymaganiami NIS2

Nieprzestrzeganie wymogów dyrektywy może wiązać się z poważnymi konsekwencjami finansowymi.  

Kary finansowe za niezgodność mogą wynosić nawet kilka milionów euro w zależności od wielkości firmy oraz stopnia naruszenia przepisów.  

Kary mają na celu zmobilizowanie firm do wdrożenia odpowiednich środków ochrony oraz zabezpieczeń cybernetycznych, które pomogą w zapobieganiu cyberatakom.

Inne konsekwencje prawne i operacyjne dla firm

Oprócz kar finansowych, firmy mogą spotkać się z innymi konsekwencjami prawno-operacyjnymi.

Jednym z nich jest utrata zaufania ze strony klientów i partnerów biznesowych. Brak zgodności z NIS2 może doprowadzić również do utraty kontraktów, zwłaszcza w branżach, gdzie cyberbezpieczeństwo jest kluczowe, w tym np. w sektorze zdrowia czy energetyce.  

Ponadto organizacje, które nie spełnią wymagań, mogą mieć także ograniczony dostęp do niektórych rynków publicznych.

Jak uniknąć kar związanych z NIS2?

Aby uniknąć kar i sankcji, firmy powinny podjąć szereg działań.  

Przede wszystkim ważne jest przeprowadzenie dokładnego audytu bezpieczeństwa, który pomoże zidentyfikować luki w zabezpieczeniach. Wdrożenie wspomnianych już, odpowiednich technologii ochrony, takich jak: firewall, szyfrowanie danych, czy monitoring sieci, a także regularne przeprowadzanie testów penetracyjnych, są również kluczowe – pozwolą na wykrycie potencjalnych zagrożeń czy niedopatrzeń.

Jak przygotować firmę do wdrożenia NIS2? Skrócony przewodnik

Ocena ryzyka i szczegółowy audyt bezpieczeństwa

Pomaga on w ocenie aktualnego stanu zabezpieczeń firmy będącej operatorem zajmującym się świadczeniem usług podstawowych. Audyt powinien obejmować:

• analizę ryzyka,  
• ocenę polityk bezpieczeństwa,  
• procedury zarządzania incydentami cyberbezpieczeństwa,
• stan infrastruktury cyfrowej.  

Na podstawie wyników audytu można opracować planu ciągłości działań, który pozwoli na spełnianie wymagań NIS2.

Wdrożenie odpowiednich środków ochrony danych i systemów informatycznych w kontekście incydentów cyberbezpieczeństwa

Na bazie wyników audytu firmy powinny zainwestować w odpowiednie środki ochrony, takie jak:

• firewall,  
• systemy wykrywania i zapobiegania włamaniom,  
• szyfrowanie danych,  
• oraz zaawansowane rozwiązania z zakresu ochrony przed złośliwym oprogramowaniem.

Ważne jest także, aby regularnie przeprowadzać aktualizacje oprogramowania i systemów operacyjnych. Nie obejdzie się bez monitoringu sieci w celu wykrywania nowych cyberzagrożeń.

Szkolenia dla pracowników

Zarówno organy zarządzające, jak i pracownicy – szczególnie związani z IT, muszą zostać przeszkoleni w zakresie cyberbezpieczeństwa oraz procedur związanych z dyrektywą NIS2.  

Docelowo szkolenia powinny obejmować nie tylko pracowników odpowiedzialnych za bezpieczeństwo IT, ale także wszystkie osoby, które mają kontakt z danymi w firmie.  

Regularne szkolenia i warsztaty zwiększą świadomość o zagrożeniach, a tym samym pomogą w szybszym reagowaniu na incydenty.

Wsparcie dla przedsiębiorstw w implementacji NIS2

Dostępne zasoby i usługi doradcze

irmy mogą skorzystać z dostępnych zasobów i usług doradczych, które pomogą im w implementacji NIS2.  

Usługi doradcze obejmują:

• audyty bezpieczeństwa,  
• konsultacje w zakresie zarządzania ryzykiem,  
• a także wsparcie w opracowywaniu i wdrażaniu polityk bezpieczeństwa zgodnych z wymogami dyrektywy.

Konsultacje z ekspertami pozytywnie wpłyną na opracowanie planu ciągłości działania w kontekście implementacji wymogów NIS2 – czyli realnym dostosowaniu procesów w danej organizacji do wymagań dyrektywy Parlamentu Europejskiego oraz w przeprowadzaniu audytów bezpieczeństwa.

Dyrektywa NIS2 to kluczowy element w rozwoju poziomu cyberbezpieczeństwa na terytorium UE

W świetle dyrektywy NIS2 organizacje odpowiedzialne za infrastrukturę krytyczną oraz infrastrukturę cyfrową muszą wdrożyć kompleksowe środki bezpieczeństwa, obejmujące m.in. stosowanie uwierzytelniania wieloskładnikowego jako podstawowej formy ochrony dostępu do systemów krytycznych. Implementacja proporcjonalnych środków technicznych powinna uwzględniać specyfikę sektora oraz potencjalny wpływ na odbiorców usług.

Równie istotne jest zabezpieczenie łańcuchów dostaw, aby ograniczyć ryzyko związane z podmiotami zewnętrznymi, szczególnie w procesie nabywania systemów i rozwiązań IT. Od organizacji wymaga się przeprowadzanie regularnych ocen bezpieczeństwa dostawców i partnerów biznesowych, przy uwzględnianiu potencjalnych zagrożeń w całym łańcuchu wartości.

NIS2 mówi również o odpowiednich procedurach stosowania kryptografii w celu zapewnienia poufności i integralności danych oraz systemów. Dyrektywa podkreśla konieczność zapewnienia zabezpieczonych połączeń głosowych w systemach łączności wewnętrznej. Szczególnie, jeśli chodzi o sytuacje kryzysowe i komunikację podczas incydentów – ze szczególnym uwzględnieniem mechanizmów działania w przypadku wystąpieniu sytuacji nadzwyczajnej.

Kluczowym elementem jest również zarządzanie lukami bezpieczeństwa. Organizacje muszą być przygotowane na szybką reakcję na podatności systemów, wdrażając odpowiednie procedury aktualizacji i łatania zabezpieczeń. Równolegle z obowiązkowymi wymogami raportowania, dyrektywa przewiduje także dobrowolne zgłaszanie incydentów, co ma na celu poprawę ogólnego poziomu bezpieczeństwa.

Wszelkie firmy (małe, średnie przedsiębiorstwa, duże przedsiębiorstwa) muszą także uwzględnić szersze aspekty bezpieczeństwa, w tym odpowiednie gospodarowanie odpadami. Dotyczy to bezpiecznego niszczenia nośników danych i sprzętu IT zawierającego wrażliwe informacje. Stanowi więc element całościowego podejścia do zarządzania bezpieczeństwem informacji oraz utrzymania sieci i systemów w stanie zapewniającym ciągłość działania.

Dokładamy cegiełkę do cyberbezpieczeństwa na terytorium Unii

Podsumowując, w tym artykule rozwialiśmy wszelkie wątpliwości, że dyrektywa NIS2 to kluczowy element środków na rzecz wysokiego rozwoju cyberbezpieczeństwa w Unii Europejskiej. Dzięki wdrożeniu NIS2 będzie możliwe zbudowanie odpornych i bezpiecznych systemów informatycznych w infrastrukturze krytycznej i tychże sektorach gospodarki całej UE. Tak, firmy muszą podjąć konkretne działania, aby sprostać nowym wymaganiom, ale docelowo przyniesie to im wiele korzyści biznesowych.

Jeśli potrzebujesz więc wsparcia w implementacji NIS2 i chcesz mieć 100% pewności, że Twoja organizacja „nadąża” za zmianami NIS2, skontaktuj się z Supremo. Nasi eksperci ds. cyberbezpieczeństwa są gotowi pomóc Ci na każdym kroku procesu wdrażania nowych wymogów – w celu dostosowania Twojej firmy do dyrektywy NIS2!