NIS2 - czyli rozszerzenie wymogów cyberbezpieczeństwa.

Dyrektywa NIS2 Unii Europejskiej obowiązuje od 16 stycznia 2023 r. i znacząco rozszerza zakres podmiotów objętych regulacjami w porównaniu do poprzedniej wersji - NIS1 z 2016 r. Wprowadza zaostrzone wymagania dotyczące cyberbezpieczeństwa, w tym ochronę łańcucha dostaw, obowiązki raportowania incydentów oraz wzmocnione mechanizmy nadzoru państwowego. Kryterium kwalifikacji podmiotów oparto na ich wielkości, co ujednolica zasady objęcia regulacjami. Nowe przepisy kładą nacisk na szybkie zgłaszanie incydentów i współpracę z organami nadzorczymi. NIS2 ma na celu podniesienie wspólnych standardów cyberbezpieczeństwa w UE, zwiększając odporność sektorów kluczowych i ważnych.

Dyrektywa NIS2 - Sprawdź jak możemy Ci pomóc.

Spis treści

Dlaczego dyrektywa NIS2 jest taka ważna?

Rozszerzenie zakresu podmiotów objętych regulacją – NIS2 obejmuje więcej sektorów i podmiotów niż NIS1, w tym m.in. sektor cyfrowy, energetykę, transport, opiekę zdrowotną czy administrację publiczną. Dzięki temu zwiększa się ochrona krytycznych obszarów gospodarki i infrastruktury.
Zaostrzenie wymagań dotyczących cyberbezpieczeństwa – Dyrektywa wprowadza bardziej rygorystyczne standardy, takie jak ochrona łańcucha dostaw, zarządzanie ryzykiem czy wdrażanie zaawansowanych środków bezpieczeństwa. To pomaga organizacjom lepiej przygotować się na zagrożenia cybernetyczne.
Wzmocnienie mechanizmów nadzoru i kontroli – NIS2 zwiększa uprawnienia organów państwowych w zakresie monitorowania i egzekwowania przepisów, co poprawia skuteczność wdrażania i przestrzegania regulacji.
Szybsze i bardziej przejrzyste raportowanie incydentów – Dyrektywa wprowadza obowiązek zgłaszania incydentów w określonych terminach, co pozwala na szybszą reakcję i minimalizację skutków ataków cybernetycznych.
Harmonizacja przepisów w UE – NIS2 ujednolica zasady cyberbezpieczeństwa w całej Unii Europejskiej, co ułatwia współpracę między państwami członkowskimi i zwiększa ogólną odporność na zagrożenia cyfrowe.
Ochrona przed rosnącymi zagrożeniami cybernetycznymi – W dobie coraz bardziej zaawansowanych ataków i rosnącej zależności od technologii, NIS2 ma na celu zapewnienie wysokiego poziomu bezpieczeństwa, chroniąc zarówno przedsiębiorstwa, jak i obywateli przed skutkami cyberprzestępczości.

Kogo dotyczy NIS2?

Dyrektywa NIS1 wskazywała 7 sektorów gospodarki których dotyczyła, Dyrektywa NIS2 wydłużyła tą listę do 18 sektorów które będą musiały wdrożyć odpowiednie zabezpieczenia zgodnie z unijnymi wymaganiami aby wzmocnić cyberbezpieczeństwo. Sektory są podzielone na Kluczowe oraz Ważne, dodatkowym kryterium jest wielkość organizacji.

Sektory Kluczowe

Sektory Ważne

Energetyka
Transport
Bankowość
Infrastruktura rynków finansowych
Opieka zdrowotna
Woda pitna
Ścieki
Infrastruktura cyfrowa
Zarządzanie usługami ICT (między przedsiębiorstwami)
Podmioty administracji publicznej
Przestrzeń kosmiczna

Usługi pocztowe i kurierskie
Gospodarowanie odpadami
Produkcja, wytwarzanie i dystrybucja chemikaliów
Produkcja, przetwarzanie i dystrybucja żywności
Produkcja
Dostawcy usług cyfrowych
Badania naukowe

Kiedy NIS2 zacznie obowiązywać?

17 października upływa termin na wdrożenie dyrektywy za pomocą ustawy w Państwach członkowskich. Należy pamiętać że wymagania zawarte w dyrektywie stanowią oczekiwanie minimum na poziomie Unijnym, co oznacza że kraje Europejskie mogą wprowadzić dodatkowe wymagania.

Wpływ NIS2 na organizację

Wdrożenie zaawansowanych środków bezpieczeństwa
Bezpieczeństwo łańcucha dostaw
Szybsze zgłaszanie incydentów
Przejrzyste procedury raportowania
Kontrola ze strony organów państwowych
Kary za nieprzestrzeganie przepisów
Wdrożenie zarządzania ryzykiem
Podniesienie świadomości cyberbezpieczeństwa
Zwiększenie odporności na ataki
Poprawa zaufania klientów i partnerów

NIS2 ma znaczący wpływ na organizacje, wymagając od nich większej odpowiedzialności, inwestycji w cyberbezpieczeństwo oraz dostosowania procesów do nowych regulacji. Choć wiąże się to z wyzwaniami, długoterminowe korzyści obejmują zwiększenie odporności na cyberzagrożenia, poprawę reputacji i lepszą współpracę z organami nadzorczymi.

Jakie są kary za niewdrożenie NIS2?

Kary finansowe

Kary administracyjne

Podmioty kluczowe (np. sektory energetyki, transportu, bankowości, zdrowia):
Maksymalna kara wynosi 10 milionów euro lub 2% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.
Podmioty ważne (np. produkcja żywności, usługi pocztowe, zarządzanie odpadami):
Maksymalna kara to 7 milionów euro lub 1,4% globalnego rocznego obrotu, również w zależności od wyższej kwoty

Nakazy zgodności: Organy nadzorcze mogą wydawać wiążące instrukcje, np. nakazujące wdrożenie środków bezpieczeństwa w określonym czasie.
Zawieszenie certyfikatów lub zezwoleń: W przypadku poważnych naruszeń, podmioty mogą tymczasowo stracić certyfikaty lub zezwolenia na prowadzenie działalności.
Zakaz pełnienia funkcji zarządczych: Dla osób odpowiedzialnych za naruszenia może zostać nałożony tymczasowy zakaz pełnienia funkcji kierowniczych

Nasze usługi

Powiązane zagadnienia

Szkolenia z Cyberbezpieczeństwa

Nasze szkolenia z cyberbezpieczeństwa przygotuje Twój zespół w zakresie skutecznego wykrywania i zapobiegania…

GRC – jak być „Compliance”?

GRC - Ład korporacyjny, ryzyko i zgodność Nasza usługa GRC (Governance, Risk, and…

Bezpieczeństwo stacji końcowych

Bezpieczeństwo stacji końcowych - Endpoint Security Nasza usługa Endpoint Security (Bezpieczeństwo stacji końcowych)…