NIS2 — co to jest i dlaczego ważna dla Twojej firmy?
Dyrektywa NIS2 (Network and Information Security 2, dyrektywa 2022/2555/UE) to unijna regulacja dotycząca cyberbezpieczeństwa, która zastąpiła pierwotną dyrektywę NIS z 2016 roku. Jej celem jest znaczące podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w kluczowych sektorach gospodarki. Polska wdrożyła dyrektywę do prawa krajowego — co oznacza, że obowiązki z niej wynikające dotyczą konkretnych polskich firm i instytucji.
NIS2 drastycznie rozszerzyła krąg podmiotów objętych regulacjami w porównaniu do poprzedniej dyrektywy. Teraz objętych jest znacznie więcej branż i przedsiębiorstw — i to zarówno dużych korporacji, jak i średnich firm.
Kto jest objęty dyrektywą NIS2?
Dyrektywa wyróżnia dwie kategorie podmiotów:
Podmioty kluczowe (essential entities)
Duże firmy z sektorów o wysokim znaczeniu dla społeczeństwa i gospodarki:
- energetyka (prąd, gaz, ropa, ciepłownictwo, wodór),
- transport (lotniczy, kolejowy, wodny, drogowy),
- bankowość i infrastruktura rynków finansowych,
- ochrona zdrowia (szpitale, laboratoria, producenci leków),
- woda pitna i ścieki,
- infrastruktura cyfrowa (dostawcy chmury, DNS, CDN, centra danych),
- zarządzanie usługami ICT (dostawcy usług zarządzanych),
- administracja publiczna,
- przestrzeń kosmiczna.
Podmioty ważne (important entities)
Firmy z szerszego kręgu branż, o mniejszej krytyczności, ale wciąż istotne:
- usługi pocztowe i kurierskie,
- gospodarka odpadami,
- produkcja chemikaliów,
- produkcja żywności,
- produkcja wyrobów medycznych, elektronicznych, maszyn, pojazdów,
- dostawcy usług cyfrowych (platformy e-commerce, wyszukiwarki, media społecznościowe),
- badania naukowe.
Jakie obowiązki nakłada NIS2?
1. Zarządzanie ryzykiem cyberbezpieczeństwa
Firmy objęte dyrektywą muszą wdrożyć politykę bezpieczeństwa informacji obejmującą m.in. analizę ryzyka, zabezpieczenie sieci, zarządzanie incydentami, ciągłość działania (backup, disaster recovery) oraz bezpieczeństwo łańcucha dostaw.
2. Odpowiedzialność zarządu
NIS2 wprost wskazuje, że za wdrożenie wymogów cyberbezpieczeństwa odpowiadają organy zarządzające firmą. Zarząd musi przejść szkolenie z zakresu cyberbezpieczeństwa i aktywnie nadzorować realizację polityki bezpieczeństwa. To ważna zmiana — cyberbezpieczeństwo staje się tematem zarządczym, nie tylko IT.
3. Zgłaszanie incydentów
Podmioty objęte NIS2 mają obowiązek zgłaszania poważnych incydentów bezpieczeństwa do właściwego organu (w Polsce — CERT Polska / CSIRT). Terminy są ścisłe:
- wczesne ostrzeżenie — w ciągu 24 godzin od wykrycia,
- zgłoszenie incydentu — w ciągu 72 godzin,
- raport końcowy — w ciągu miesiąca.
4. Bezpieczeństwo łańcucha dostaw
Firmy muszą weryfikować bezpieczeństwo swoich dostawców i partnerów biznesowych. Jeśli korzystasz z usług zewnętrznych dostawców IT, musisz mieć procedury oceny ich bezpieczeństwa.
5. Szyfrowanie i uwierzytelnianie
Dyrektywa wymaga stosowania silnych mechanizmów uwierzytelniania (MFA) i szyfrowania danych — zarówno w transmisji, jak i w przechowywaniu.
Co powinna zrobić firma objęta NIS2?
Jeśli Twoja firma może być objęta NIS2, pierwszym krokiem jest:
- weryfikacja, czy firma należy do objętych sektorów i spełnia kryteria wielkości,
- przeprowadzenie audytu obecnego stanu bezpieczeństwa (gap analysis),
- opracowanie lub aktualizacja polityki bezpieczeństwa informacji,
- wdrożenie procedur zarządzania incydentami i zgłaszania do CSIRT,
- przeszkolenie zarządu i kluczowych pracowników,
- przegląd umów z dostawcami IT pod kątem wymagań bezpieczeństwa.
Aspekty prawne — rola prawnika przy NIS2
Wdrożenie NIS2 to nie tylko zadanie działu IT — wymaga też analizy prawnej. Prawnik pomoże ocenić, czy firma podlega dyrektywie, przygotować lub zrewidować polityki bezpieczeństwa pod kątem wymogów prawnych, dostosować umowy z dostawcami i klientami, a także opracować procedury postępowania przy incydentach zgodne z wymogami zgłoszeniowymi.
Podsumowanie
NIS2 to realne i poważne zobowiązanie dla tysięcy polskich firm. Podmioty, które nie dostosują się do wymagań, narażają się na wysokie kary i odpowiedzialność zarządu. Warto sprawdzić, czy Twoja firma jest objęta dyrektywą i — jeśli tak — jak najszybciej przystąpić do wdrożenia wymaganych środków.
Powiązane strony