banner z laptopem i logo NIS2

NIS2 – nowe przepisy w zakresie cyberbezpieczeństwa i jak ułatwić spełnienie ich założeń

Agnieszka Pierlak

11.07.2024

7 min

Do 17 października 2024 r. organizacje muszą wdrożyć wymogi unijnej dyrektywy NIS2, która wprowadza szereg obowiązków w dziedzinie cyberbezpieczeństwa. Znacznie poszerza też zakres sektorów i podmiotów objętych regulacjami.

Czasu jest coraz mniej, a świadomość nowych wymagań wśród firm wciąż pozostaje niska. Tegoroczne badanie CSO Council W oczekiwaniu na NIS2: stan przygotowań wykazało, że aż 25% ankietowanych przedsiębiorców nie wie, czy podlega przepisom.

Czym jest NIS2? Sprawdź, czy Twój biznes musi zastosować się do jej założeń i dowiedz się, jak można ułatwić spełnienie wymogów nowej dyrektywy.

Czym jest dyrektywa NIS2 i jaki jest jej cel?

NIS2 (Network and Information Security Directive 2) to rozwinięcie dyrektywy NIS z 2016 r. – pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa.

Powstała w odpowiedzi na potrzebę dostosowania obecnych przepisów do dynamicznie ewoluującego krajobrazu cyberzagrożeń i coraz bardziej wyrafinowanych ataków. Celem NIS2 jest osiągnięcie wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej oraz wzmocnienie ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki.

Najważniejsze aspekty NIS2

  1. Rozszerzony zakres – NIS2 obejmuje więcej sektorów gospodarki niż poprzednia dyrektywa, zwiększając ich liczbę z 7 do 18. W rezultacie dotyczy większej liczby branż i podmiotów.
  2. Nowe obowiązki – organizacje objęte regulacjami muszą wprowadzić minimalny zakres środków bezpieczeństwa, by zapewnić efektywne zarządzanie ryzykiem. Dodatkowo NIS2 zaostrza zasady zgłaszania incydentów.
  3. Kary i sankcje – dyrektywa jasno określa wysokość kar administracyjnych za uchylanie się od spełnienia wymogów. Mogą one sięgać nawet do 10 mln euro lub 2% łącznego rocznego obrotu.

Kogo dotyczą nowe przepisy?

NIS2 dzieli firmy podlegające regulacjom na podmioty kluczowe i ważne. Do pierwszej grupy należą te, których zakłócenie działalności, np. w wyniku cyberataku, może mieć poważne konsekwencje dla funkcjonowania społeczeństwa i gospodarki (np. energetyka, woda pitna, bankowość). Druga grupa obejmuje firmy o mniejszym, choć wciąż istotnym znaczeniu (np. usługi pocztowe, produkcja).

Jakie są zasady identyfikacji podmiotów?

Dyrektywa podaje następujące kryteria:

  • Samoidentyfikacja: organizacja musi we własnym zakresie ocenić, czy podlega dyrektywie, i powiadomić o tym odpowiedni organ państwowy.
  • Wielkość: przepisy dotyczą przedsiębiorstw średnich i dużych, czyli takich zatrudniających ponad 50 osób i osiągających roczne obroty lub sumę bilansową przekraczającą 10 mln euro.
  • Obszar działalności: dyrektywie podlegają podmioty, które świadczą usługi na terytorium UE i działają w sektorach uznanych za niezbędne dla funkcjonowania gospodarki i społeczeństwa.
ikony NIS2 podmioty kluczowe, NIS2 podmioty ważne, NI2 sektory kluczowe, NIS2 sektory ważne

Nowa dyrektywa – nowe obowiązki

NIS2 wprowadza takie same minimalne wymogi bezpieczeństwa dla wszystkich podmiotów. Obowiązki wynikające z dyrektywy opisano ogólnie, co daje możliwość elastycznego doboru rozwiązań, które pomogą spełnić założenia. Dodatkowo każde państwo UE może narzucić własne regulacje – pod warunkiem, że będą nie mniej rygorystyczne niż te zawarte w NIS2.

Jakie środki zarządzania ryzykiem trzeba wprowadzić?

Dyrektywa skupia się nie tylko na technicznych i organizacyjnych aspektach bezpieczeństwa. Wymaga też, aby pracownicy byli świadomi zagrożeń i odpowiednio przeszkoleni. Środki zarządzania ryzykiem powinny być adekwatne do poziomu ryzyka i obejmować przynajmniej te obszary:

  • Politykę analizy ryzyka – procedury w celu identyfikacji, analizy, oceny i minimalizacji ryzyka związanego z cyberbezpieczeństwem.
  • Obsługę incydentu – procedury w celu wykrywania incydentów, reagowania na nie i zapobiegania im.
  • Ciągłość działania – przywracanie normalnego funkcjonowania organizacji po wystąpieniu sytuacji kryzysowej, np. dzięki stosowaniu kopii zapasowych.
  • Bezpieczeństwo sieci i systemów informatycznych – w procesie ich nabywania, rozwoju, utrzymania, a także postępowanie w przypadku wykrycia podatności.
  • Bezpieczeństwo łańcucha dostaw – ustalenie wymogów stawianych podmiotom zewnętrznym przy współpracy.
  • Bezpieczeństwo zasobów ludzkich, zarządzanie aktywami i kontrola dostępu.
  • Procedury stosowania: kryptografii, szyfrowania, uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo, a także zabezpieczonych systemów łączności wewnętrznej, używanych w sytuacjach nadzwyczajnych.
  • Cyberhigienę – wprowadzenie jej podstawowych praktyk oraz regularne szkolenia pracowników w zakresie cyberbezpieczeństwa.

Zgłaszanie incydentów

Kary administracyjne

Podmioty kluczowe: co najmniej 10 mln euro lub 2% łącznego rocznego obrotu.

Podmioty ważne: co najmniej 7 mln euro lub 1,4% łącznego rocznego obrotu.

Bezpieczeństwo urządzeń mobilnych elementem zgodności z NIS2

Jak Proget wspiera zgodność z dyrektywą NIS2?

Pełna widoczność i zgodność

Obsługa incydentów i działania prewencyjne

Spójne i rygorystyczne zasady bezpieczeństwa

Efektywne zarządzanie aplikacjami


Oddaj swoje dane w dobre ręce.

tablet i telefon, widok na ekran główny z ikonami aplikacji

Podsumowanie