Aby zareagować na rosnące zagrożenia związane z cyfryzacją i wzrostem liczby cyberataków, Komisja Europejska przedstawiła wniosek w sprawie zastąpienia dyrektywy NIS dyrektywą NIS2. Wzmocni to wymogi bezpieczeństwa, zajmie się bezpieczeństwem łańcuchów dostaw, usprawni obowiązki sprawozdawcze oraz wprowadzi silniejsze środki nadzorcze i surowsze wymogi w zakresie egzekwowania prawa, w tym zharmonizowane sankcje w całej UE.

Głównym celem dyrektywy NIS2 jest wzmocnienie cyberbezpieczeństwa i odporności infrastruktury krytycznej oraz dostawców usług cyfrowych w Unii Europejskiej.  

Niektóre z kluczowych różnic między starą a nową dyrektywą obejmują bardziej precyzyjne przepisy dotyczące procesu zgłaszania incydentów, treści raportów i terminów (w ciągu 24 godzin od wykrycia incydentu). Na poziomie europejskim NIS2 wzmacnia cyberbezpieczeństwo kluczowych technologii informacyjno-komunikacyjnych. Państwa członkowskie będą musiały przeprowadzać skoordynowane oceny ryzyka krytycznych łańcuchów dostaw we współpracy z Komisją i ENISA, Agencją Unii Europejskiej ds. Cyberbezpieczństwa. 

Przeczytaj naszą broszurę, aby dowiedzieć się więcej o różnicach między starą a nową dyrektywą.

NIS2 dotyczy wszystkich organizacji, które świadczą kluczowe lub ważne usługi dla europejskiej gospodarki i społeczeństwa.   

Jeśli Twoja organizacja należy do którejkolwiek z poniższych kategorii, NIS2 dotyczy także Ciebie.  

Podmioty kluczowe (essential entities)  

Próg wielkości: różni się w zależności od sektora, ale generalnie 250 pracowników, roczny obrót w wysokości 50 mln EUR lub bilans w wysokości 43 mln EUR:  

• Energia  
• Transport  
• Finanse  
• Administracja publiczna  
• Zdrowie   
• Przestrzeń   
• Zaopatrzenie w wodę (pitną i ściekową)  
• Infrastruktura cyfrowa (np. dostawcy usług przetwarzania w chmurze i zarządzanie ICT)

Podmioty ważne (important entities)

Próg wielkości: różni się w zależności od sektora, ale generalnie 50 pracowników, roczny obrót 10 mln EUR lub bilans 10 mln EUR  

• Usługi pocztowe  
• Gospodarka odpadami  
• Chemikalia  
• Badania  
• Żywność  
• Produkcja  
• Dostawcy cyfrowi (np. sieci społecznościowe, wyszukiwarki, rynki internetowe)

Branże po raz pierwszy objęte pierwotną dyrektywą pozostaną w zakresie zaktualizowanej dyrektywy NIS2. Ponadto niektóre mniejsze organizacje, które są uważane za krytyczne dla funkcjonowania państwa członkowskiego, zostaną włączone do ram NIS2, aby zająć się potencjalnymi kwestiami, które mogą powstać w przypadku cyberataku na nie.

Dyrektywa NIS2 uznaje również, że niektóre branże mogą już posiadać przepisy dotyczące cyberbezpieczeństwa. Jeśli te przepisy sektorowe oferują porównywalne lub lepsze środki cyberbezpieczeństwa niż te określone w dyrektywie NIS2, podmioty te nie będą objęte odpowiednimi sekcjami dyrektywy. Przepisy dyrektywy NIS2 będą jednak nadal miały zastosowanie do organizacji, które nie są objęte tymi przepisami sektorowymi.

Dyrektywa NIS2 wprowadza nowe obowiązki dla organizacji w czterech głównych obszarach: zarządzanie ryzykiem, odpowiedzialność korporacyjna, obowiązki sprawozdawcze i ciągłość działania.

• Zarządzanie ryzykiem  

  Organizacje muszą ograniczyć ryzyko cybernetyczne, aby zachować zgodność z nową dyrektywą. Do wdrożonych metod należą: zarządzanie incydentami, poprawa bezpieczeństwa łańcucha dostaw, zwiększone bezpieczeństwo sieci, lepsza kontrola dostępu i szyfrowanie. 

• Odpowiedzialność korporacyjna  

  NIS2 wymaga od kierownictwa korporacji nadzorowania, zatwierdzania i szkolenia w zakresie procedur cyberbezpieczeństwa podmiotu oraz przeciwdziałania zagrożeniom cybernetycznym. Kierownictwo może podlegać sankcjom za naruszenia, w tym odpowiedzialności prawnej i tymczasowemu wykluczeniu ze stanowisk kierowniczych.  

• Obowiązki sprawozdawcze  

  Podmioty kluczowe i ważne muszą posiadać systemy umożliwiające jak najszybsze ujawnianie zdarzeń związanych z bezpieczeństwem, które mają istotny wpływ na ich ofertę usług lub odbiorców. NIS2 określa ramy czasowe powiadomień, takie jak 24-godzinne "wczesne ostrzeganie".  

• Ciągłość działania  

  Organizacje muszą zaplanować, w jaki sposób utrzymają ciągłość działania w przypadku poważnych incydentów cybernetycznych. Strategia ta powinna uwzględniać odzyskiwanie systemu, procedury awaryjne i utworzenie zespołu reagowania kryzysowego. 

Dobrym sposobem na zapewnienie, że Twoja firma spełnia wymagania NIS2, jest uzyskanie certyfikatu ISO 27001 (dyrektywa NIS2 wyraźnie odnosi się do ISO 27001). Podczas gdy ISO 27001 (Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności) i dyrektywa NIS2 służą różnym celom, skutecznie się uzupełniają. Z drugiej strony ISO 22301 obejmuje aspekty zarządzania ciągłością działania (BCM), co dodatkowo wzmacnia kompleksowe podejście do wdrażania NIS2.

Zapoznaj się z naszym narzędziem do mapowania i uzyskaj przystępny przegląd procesu porównywania NIS2 z normą ISO/IEC 27001.

Oprócz norm 27001 i 22301 możemy przeprowadzić analizę GAP (analiza luk) dla Twojej firmy. Nasi eksperci określą, jakie wymagania już spełniasz i jakie kroki musisz jeszcze podjąć, aby osiągnąć zgodność z NIS2.

Ponieważ jednym z kluczowych elementów dyrektywy NIS2 są standardy oceny bezpieczeństwa łańcucha dostaw, Twoja organizacja może potrzebować audytu łańcucha dostaw. Jest to kolejny obszar, w którym możesz polegać na naszym profesjonalnym wsparciu, które pomoże Ci osiągnąć zgodność z NIS2.

Zagłęb się w temat zgodności z NIS2:

• Przeczytaj naszą broszurę, aby dowiedzieć się więcej o tym, jak ISO/IEC 27001 i ISO 22301 pomagają zapewnić zgodność z NIS2 lub
• Sprawdź nasze przyjazne dla użytkownika narzędzie do mapowania porównujące wymagania NIS2 z normą ISO/IEC 27001.

Termin wdrożenia przez państwa członkowskie dyrektywy NIS2 do obowiązującego prawa krajowego upływa 17 października 2024 r.  

e zastosujesz się do dyrektywy NIS2, gdy Twoja organizacja wchodzi w jej zakres, moJeśli niżesz zostać ukarany grzywną w wysokości do 10 mln euro lub 2% całkowitego rocznego światowego obrotu (w zależności od tego, która z tych kwot jest wyższa). Wraz z grzywną mogą również zostać nałożone sankcje niepieniężne i sankcje karne dla kierownictwa.  

W odniesieniu do kar administracyjnych, dyrektywa NIS2 starannie rozróżnia podmioty kluczowe i ważne.  

Jeśli chcesz poznać więcej szczegółów dotyczących kar za nieprzestrzeganie przepisów, pobierz naszą broszurę.