Czym jest dyrektywa NIS 2 i kogo dotyczy?

Cyberbezpieczeństwo nie jest już technicznym problemem działu IT, lecz istotnym wyzwaniem dla zarządów i właścicieli firm. Unia Europejska wprowadza regulacje, które wymuszają całkowitą przebudowę firmowych procedur ochrony danych, w tym dyrektywę NIS2. Nowe przepisy w zakresie cyberbezpieczeństwa kończą okres dobrowolności. Polscy przedsiębiorcy muszą dostosować się do rygorystycznych standardów, które dotychczas obowiązywały jedynie najwrażliwsze sektory gospodarki.

Nie masz pewności, czy Twoja firma podlega nowym regulacjom unijnym i rygorom odpowiedzialności? Przeczytaj nasz blog, z którego dowiesz się, kogo dokładnie obejmują przepisy i jakie kroki należy podjąć, aby uniknąć wysokich kar administracyjnych oraz paraliżu operacyjnego.

Czym jest dyrektywa NIS 2?

NIS 2 to skrót od Network and Information Security Directive 2 – dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Regulacja weszła w życie 16 stycznia 2023 roku, a termin na jej implementację do krajowych porządków prawnych upłynął 17 października 2024 roku. Celem dyrektywy NIS 2 jest ujednolicenie i podniesienie standardów cyberbezpieczeństwa we wszystkich państwach członkowskich UE.

Nowe przepisy to ewolucja dyrektywy NIS z 2016 roku, która jako pierwsza regulowała bezpieczeństwo sieci na terenie Unii Europejskiej. Pierwotna wersja okazała się niewystarczająca wobec rosnącej skali incydentów, a różna interpretacja przepisów przez kraje członkowskie doprowadziła do fragmentacji poziomu ochrony. NIS 2 eliminuje te luki, wprowadzając szerszy zakres podmiotowy oraz precyzyjnie określone sankcje. W Polsce wdrożenie tych zmian odbywa się poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, przygotowaną przez Ministerstwo Cyfryzacji.

Kogo dotyczy NIS 2?

Dyrektywa NIS 2 regulująca kwestie cyberbezpieczeństwa wprowadza podział organizacji na dwie kategorie: podmioty kluczowe (essential entities) oraz podmioty ważne (important entities). Różnica nie dotyczy zakresu obowiązków, które pozostają zbliżone, lecz intensywności nadzoru oraz wysokości grożących kar.

NIS 2 obejmuje podmioty działające w 18 sektorach gospodarki, co znacznie rozszerza zakres w porównaniu z poprzednimi przepisami:

1. energia (elektryczność, ciepłownictwo, gaz, ropa, wodór),
2. transport (lotniczy, kolejowy, wodny, drogowy),
3. bankowość,
4. infrastruktura rynków finansowych,
5. ochrona zdrowia,
6. woda pitna,
7. ścieki,
8. infrastruktura cyfrowa,
9. zarządzanie usługami ICT (B2B),
10. administracja publiczna,
11. przestrzeń kosmiczna,
12. usługi pocztowe i kurierskie,
13. gospodarka odpadami,
14. produkcja i dystrybucja chemikaliów,
15. produkcja i dystrybucja żywności,
16. produkcja (wyroby medyczne, komputery, elektronika, maszyny, pojazdy),
17. dostawcy usług cyfrowych,
18. badania naukowe.

50+ pracowników lub 10 mln EUR rocznego
obrotu – kryteria objęcia NIS 2

Powyższe progi finansowe i zatrudnienia stanowią główne kryterium kwalifikujące organizację do objęcia przepisami NIS 2. Średnie i duże przedsiębiorstwa z wymienionych sektorów podlegają dyrektywie odgórnie. Ustawodawca przewidział jednak wyjątki niezależne od wielkości firmy. Przepisami objęci są zawsze dostawcy usług DNS, rejestry domen najwyższego poziomu (TLD), dostawcy usług chmurowych, centra danych oraz dostawcy sieci dostarczania treści (CDN).

Można podlegać przepisom NIS 2 przez efekt łańcucha dostaw, nawet jeśli Twoja organizacja nie należy bezpośrednio do żadnego z wymienionych sektorów. Dzieje się tak np. w przypadku średnich firm IT czy dostawców usług dla szpitali i banków. Dyrektywa nakłada na podmioty kluczowe obowiązek weryfikacji cyberbezpieczeństwa swoich partnerów biznesowych. W praktyce mniejsza firma informatyczna obsługująca energetykę lub ochronę zdrowia zostanie zobowiązana do wdrożenia standardów bezpieczeństwa, mimo braku spełnienia kryteriów wielkościowych. Producent komponentów dla infrastruktury krytycznej, dostawca oprogramowania bankowego czy serwisant operatora sieci – te podmioty również znajdą się w zasięgu nowych regulacji.

Warto dokładnie zweryfikować pozycję swojej firmy w łańcuchu dostaw, nawet jeśli na pierwszy rzut oka regulacje jej nie dotyczą. Wielu przedsiębiorców zauważa, że ich strategiczni klienci zaczynają wprowadzać wymóg zgodności z NIS 2 jako warunek konieczny do kontynuowania współpracy. Po ustaleniu, że organizacja podlega pod NIS 2, pozostaje kwestia konkretnych działań wdrożeniowych.

Dyrektywa NIS 2 – główne obowiązki w zakresie
cyberbezpieczeństwa

Dyrektywa NIS 2 nakłada na podmioty obowiązki wykraczające poza wdrożenie zabezpieczeń technicznych. Nowe regulacje traktują cyberbezpieczeństwo jako proces systemowy, obejmujący polityki, procedury, technologię oraz bezpośrednie zaangażowanie zarządu.

Zarządzanie ryzykiem wymaga analizy zagrożeń oraz wdrożenia adekwatnych zabezpieczeń. Organizacje są zobowiązane do opracowania i aktualizacji polityk bezpieczeństwa, które regulują kontrolę dostępu, szyfrowanie danych, zarządzanie podatnościami oraz ochronę przed złośliwym oprogramowaniem. Wymogi te oparto na zasadzie proporcjonalności – zastosowane środki muszą odpowiadać skali działalności oraz poziomowi ryzyka specyficznemu dla danego podmiotu.

Zgłaszanie incydentów to jeden z podstawowych wymogów NIS 2 w zakresie cyberbezpieczeństwa, który wprowadza sztywne ramy czasowe:

• 24 godziny – wczesne ostrzeżenie do CSIRT,
• 72 godziny – pełne zgłoszenie incydentu,
• 1 miesiąc – raport końcowy.

Scenariusz ataku ransomware w piątkowy wieczór oznacza paraliż operacyjny i wyścig z czasem. Od momentu wykrycia incydentu firma ma zaledwie 24 godziny na przesłanie wczesnego ostrzeżenia do CSIRT, nawet przy braku pełnej wiedzy o skali problemu. W ciągu kolejnych 48 godzin należy dostarczyć zgłoszenie z oceną wpływu ataku na działalność i opisem działań naprawczych. Raport końcowy, składany po miesiącu, musi zawierać analizę przyczyn i skutków. Terminy te są bezdyskusyjne, a ich niedotrzymanie stanowi samodzielną podstawę do nałożenia kar.

Obowiązkowe szkolenia z cyberbezpieczeństwa dla zarządu

Wymóg szkoleń dla kadry zarządzającej to nowość w przepisach unijnych. NIS 2 nakazuje, aby członkowie organów zarządzających posiadali wiedzę pozwalającą zrozumieć ryzyka cyfrowe i oceniać skuteczność ich mitygacji. Zmienia to układ sił w firmie – przez dyrektywę NIS 2 cyberbezpieczeństwo przestaje być wyłączną domeną IT, stając się bezpośrednią odpowiedzialnością osób podejmujących decyzje strategiczne.

Ochrona łańcucha dostaw wymusza weryfikację partnerów pod kątem ich standardów bezpieczeństwa. Organizacje muszą uwzględniać ryzyka wynikające z relacji z podmiotami trzecimi i wdrażać mechanizmy kontrolne. Dyrektywa kładzie również nacisk na ciągłość działania – firmy mają obowiązek posiadania planów awaryjnych oraz procedur odtwarzania systemów po wystąpieniu incydentu.

Warto się upewnić, że zarząd wie, iż ponosi osobistą odpowiedzialność za cyberbezpieczeństwo. Konsekwencje niedopełnienia obowiązków mogą być dotkliwe.

Kary i odpowiedzialność osobista zarządu

Sankcje przewidziane w dyrektywie NIS 2 należą do najsurowszych w historii unijnych regulacji cyfrowych:

• do 10 000 000 EUR lub 2% globalnego rocznego obrotu – dla podmiotów kluczowych,
• do 7 000 000 EUR lub 1,4% globalnego rocznego obrotu – dla podmiotów ważnych.

W obu przypadkach organ nadzorczy stosuje wyższą z kwot, co dla dużych korporacji oznacza kary sięgające setek milionów euro.

Różnica między podmiotami kluczowymi a ważnymi dotyczy także trybu nadzoru. Podmioty kluczowe podlegają kontroli proaktywnej – organy krajowe mogą przeprowadzać regularne audyty i inspekcje na miejscu bez wcześniejszego powiadomienia. Podmioty ważne nadzorowane są reaktywnie, co oznacza, że działania kontrolne podejmowane są zazwyczaj dopiero w odpowiedzi na zgłoszony incydent lub sygnały o nieprawidłowościach.

Rewolucją wprowadzoną przez NIS 2 jest odpowiedzialność osobista członków zarządu. To nie tylko firma ponosi koszty – konsekwencje finansowe mogą dotknąć bezpośrednio osób decyzyjnych. Za rażące zaniedbania organy nadzoru mają prawo tymczasowo zawiesić certyfikaty niezbędne do prowadzenia działalności, a nawet zakazać konkretnym osobom pełnienia funkcji kierowniczych. Tym samym NIS 2 wymusza, by cyberbezpieczeństwo stało się stałym punktem agendy najwyższego kierownictwa.

Odpowiedzialność karna i administracyjna menedżerów

Doświadczenia z RODO pokazują, że unijne organy nadzorcze skutecznie nakładają sankcje finansowe. W ciągu kilku lat od wejścia w życie przepisów o ochronie danych wydano kary liczone w milionach euro. Nie ma przesłanek, by sądzić, że w przypadku NIS 2 będzie inaczej. Rosnąca skala ataków i ich wpływ na bezpieczeństwo publiczne sugerują, że egzekwowanie nowych przepisów będzie równie zdecydowane.

Dodatkowym narzędziem nacisku jest możliwość publicznego ujawniania informacji o naruszeniach, czyli tzw. naming and shaming. Dla wielu organizacji ryzyko reputacyjne związane z upublicznieniem zaniedbań w obszarze cyberbezpieczeństwa bywa bardziej kosztowne niż sama kara administracyjna.

Jak się przygotować do wdrożenia NIS 2?

Wdrożenie wymogów NIS 2 to proces ciągły, a nie jednorazowy projekt. Wymaga systematycznego podejścia i zaangażowania całej organizacji. Od czego zacząć?

• Krok 1: Self-assessment – zweryfikuj, czy Twoja organizacja podlega pod przepisy dyrektywy. Przeanalizuj sektor działalności, wielkość przedsiębiorstwa oraz pozycję w łańcuchu dostaw. Pamiętaj o wyjątkach od kryterium wielkościowego i sprawdź, czy Twoi najważniejsi klienci nie wymagają zgodności z NIS 2.
• Krok 2: Gap analysis – przeprowadź audyt obecnego stanu cyberbezpieczeństwa. Zidentyfikuj luki między aktualnym poziomem ochrony a wymogami dyrektywy. Audyt zerowy często ujawnia zaniedbania, takie jak nieaktualizowane systemy kontroli dostępu czy martwe procedury reagowania na incydenty.
• Krok 3: Opracowanie polityk i procedur – na podstawie wyników analizy zaktualizuj dokumentację. Polityki muszą obejmować zarządzanie ryzykiem, kontrolę dostępu, ochronę danych, reagowanie na incydenty oraz ciągłość działania.
• Krok 4: Wdrożenie środków technicznych – zaimplementuj narzędzia adekwatne do zidentyfikowanych ryzyk. Najważniejsze obszary to systemy wykrywania zagrożeń, mechanizmy szyfrowania, polityka backupów oraz monitoring bezpieczeństwa.
• Krok 5: Szkolenia zarządu i pracowników – zaplanuj program edukacyjny dla całej organizacji. NIS 2 nakłada szczególny nacisk na edukację członków zarządu, którzy muszą posiadać wiedzę niezbędną do oceny ryzyka cyfrowego.
• Krok 6: Procesy wykrywania i zgłaszania incydentów – ustanów procedury identyfikacji i raportowania incydentów. Zdefiniuj odpowiedzialność, przygotuj szablony zgłoszeń i regularnie testuj procedury w warunkach symulowanych (tabletop exercises).
• Krok 7: Przegląd łańcucha dostaw – zweryfikuj praktyki bezpieczeństwa dostawców. To częsty wektor ataków, dlatego wymogi bezpieczeństwa należy wpisać do umów z kontrahentami i monitorować ich przestrzeganie.

W procesie wdrożenia NIS 2 pomocna jest certyfikacja zgodności z normą ISO 27001. Standard ten obejmuje wiele wymogów zbieżnych z dyrektywą i służy jako mapa drogowa zmian. Polska nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprost odwołuje się do norm ISO 27001 i ISO 22301 jako punktów odniesienia dla wdrażanych środków bezpieczeństwa.

NIS 2 – rewolucja w cyberbezpieczeństwie

Dyrektywa NIS 2 to regulacja cyberbezpieczeństwa, która jest bez wątpienia najszerszą w historii UE. Wymaga ona zmiany podejścia z reaktywnego „gaszenia pożarów” na strategiczne zarządzanie ryzykiem. Nie chodzi tu jednak wyłącznie o biurokratyczną zgodność. Wdrożenie tych standardów to inwestycja w stabilność biznesu i ochronę przed zagrożeniami, które realnie mogą doprowadzić do upadku przedsiębiorstwa.

Działania należy podjąć natychmiast, zanim wystąpi incydent lub nastąpi kontrola. Warto zacząć od analizy luki i weryfikacji łańcucha dostaw, a następnie systematycznie eliminować zagrożenia. Zgodność z NIS 2 jest wyzwaniem, ale przy odpowiednim planowaniu jest w pełni osiągalna.