Dyrektywa NIS2 – jak przygotować firmę na nowe regulacje cyberbezpieczeństwa

Czego dowiesz się z tego artykułu?

• Czym jest dyrektywa NIS2 i jakie zmiany wprowadza?
• Jakie firmy muszą wdrożyć NIS2?
• Czym są podmioty kluczowe i ważne?
• Jakie są najważniejsze obowiązki wynikające z NIS2?
• Jakie kary grożą za brak zgodności z NIS2?
• Jakie zmiany wprowadza nowa ustawa o KSC?
• Jak przygotować firmę do wdrożenia NIS2 w praktyce?

Dyrektywa NIS2 to najnowsze unijne przepisy z zakresu cyberbezpieczeństwa, które znacząco wpłyną na sposób ochrony danych oraz ochronę sieci i systemów informatycznych w organizacjach. Stanowi ona aktualizację i rozszerzenie pierwszej dyrektywy NIS z 2016 roku, odpowiadając na gwałtowny wzrost liczby cyberataków w ostatnich latach. W 2024 roku liczba zgłoszonych indycentów wzrosła aż o 60% względem roku poprzedniego, co pokazuje skalę rosnących zagrożeń i potrzebę wdrożenia nowych regulacji cyberbezpieczeństwa.

Dyrektywa NIS2 (oficjalnie Dyrektywa UE 2022/2555) została przyjęta pod koniec 2022 roku. Jej głównym celem jest ustanowienie jednolitych, wysokich standardów bezpieczeństwa dla kluczowych sektorów gospodarki w całej UE. Mówiąc prościej – NIS2 dąży do podniesienia poziomu ochrony systemów informatycznych i sieci we wszystkich państwach członkowskich oraz wzmocnienia odporności firm na cyberataki.

Dla właścicieli firm i osób odpowiedzialnych za IT oznacza to, że cyberbezpieczeństwo staje się nie tylko kwestią technologiczną, ale i prawnym obowiązkiem. Dyrektywa NIS2 lokuje bezpieczeństwo informatyczne wysoko na liście priorytetów zarządów – organizacje muszą traktować je strategicznie, podobnie jak finanse czy kwestie zgodności z RODO.

Poniżej wyjaśniamy, kogo konkretnie dotyczą nowe regulacje oraz jakie praktyczne wymogi dyrektywy NIS2 trzeba będzie spełnić, aby zapewnić odpowiedni poziom bezpieczeństwa.

Nowa dyrektywa obejmuje znacznie szersze grono podmiotów niż jej poprzedniczka. NIS2 wskazuje aż kilkanaście sektorów gospodarki jako krytyczne lub istotne z punktu widzenia funkcjonowania społeczeństwa i państwa.

Kogo dotyczy NIS2? Wśród branż wymienionych w przepisach znajdują się m.in.: energetyka, transport (w tym transport publiczny), bankowość i infrastruktura rynków finansowych, opieka zdrowotna, zaopatrzenie w wodę pitną i gospodarowanie ściekami, infrastruktura cyfrowa i łączność elektroniczna, usługi pocztowe i kurierskie, gospodarka odpadami, produkcja żywności oraz produkcja wyrobów krytycznych (np. urządzeń medycznych, komputerów, pojazdów).

Dyrektywa posługuje się pojęciami podmiotów kluczowych i podmiotów ważnych. Podmioty kluczowe to te o fundamentalnym znaczeniu dla bezpieczeństwa i gospodarki (dawniej nazywane operatorami usług kluczowych), natomiast podmioty ważne pełnią istotną rolę w wymienionych sektorach, choć ewentualne incydenty z ich udziałem miałyby nieco mniejszy skutek niż w przypadku podmiotów kluczowych. Przynależność do jednej z tych kategorii decyduje o szczegółowych obowiązkach – podmioty kluczowe będą podlegać ściślejszemu nadzorowi i ostrzejszym wymogom, podczas gdy podmioty ważne mają nieco uproszczone obowiązki.

Dyrektywa NIS2 nie ogranicza się do ogólnych haseł – nakłada na organizacje bardzo konkretne obowiązki w zakresie ochrony sieci i systemów informatycznych oraz zarządzania bezpieczeństwem. Wdrożenie NIS2 w firmie wiąże się z koniecznością spełnienia szeregu obowiązków. Nowe przepisy jasno określają, jakie działania muszą podjąć firmy, aby zapewnić zgodność z NIS2.

Wymagania unijne wynikające z NIS2

• Zarządzanie ryzykiem – organizacje muszą regularnie analizować ryzyka i dostosowywać środki ochrony do zmieniających się zagrożeń.
• Polityki i procedury bezpieczeństwa – wymagane jest wdrożenie formalnych zasad ochrony danych, reagowania na incydenty, zarządzania dostępem oraz zapewnienia ciągłości działania, najlepiej zgodnych z uznanymi standardami, np. ISO 27001.
• Bezpieczeństwo łańcucha dostaw – firmy powinny monitorować poziom cyberbezpieczeństwa u swoich dostawców i podwykonawców.
• Monitorowanie zagrożeń i szybka reakcja – obowiązek stosowania systemów detekcji i reakcji na incydenty w czasie rzeczywistym.
• Zgłaszanie incydentów – poważne incydenty należy zgłosić do właściwego CSIRT w ciągu 24 godzin, a pełny raport złożyć w ciągu 72 godzin.
• Dokumentacja i audyty – organizacje muszą prowadzić dokumentację działań z zakresu cyberbezpieczeństwa oraz być przygotowane na kontrole.
• Szkolenia i zaangażowanie zarządu – zarządy firm są odpowiedzialne za zgodność z przepisami i powinny aktywnie uczestniczyć w działaniach związanych z bezpieczeństwem.

Dostosowanie NIS2 do polskich realiów – nowe przepisy ustawy o KSC

Choć unijna dyrektywa NIS2 obowiązuje we wszystkich państwach członkowskich, każde z nich musi wdrożyć ją w formie krajowych przepisów. W Polsce następuje to poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma objąć około 38 000 podmiotów – zarówno kluczowych, jak i ważnych. Co już wiadomo o polskiej ustawie wdrażającej NIS2 i jakie zmiany w Polsce się z tym wiążą?

Najważniejsze zmiany w ustawie o KSC

Obowiązek zarządzanie ryzykiem: obowiązek wdrożenia systemów zabezpieczeń zgodnych z międzynarodowymi standardami, np. ISO 27001, oraz regularne przeprowadzanie audytów.

• Zgłaszanie incydentów: incydenty poważne należy zgłosić do CSIRT w ciągu 24 godzin od wykrycia, a szczegółowy raport złożyć w ciągu 72 godzin.
• Audyt co 3 lata: obowiązek przeprowadzania audytów co najmniej raz na trzy lata przez niezależnego audytora.
• Sankcje: kary finansowe za niewykonanie obowiązków ustawowych mogą wynieść do 10 mln euro lub 2% rocznego obrotu dla podmiotów kluczowych oraz do 7 mln euro lub 1,4% rocznego obrotu dla podmiotów ważnych.

Należy podkreślić, że Polska ustawa NIS2 (nowelizacja ustawy o KSC) jeszcze jest w trakcie prac legislacyjnych. Termin wdrożenia NIS2 minął 17 października 2024 r., a nowelizacja ustawy wciąż jest w toku – dlatego warto działać już teraz. Szczegółowe brzmienie przepisów może się zmienić, zanim ostatecznie wejdą w życie. Jednak główny kierunek jest przesądzony – przedsiębiorstwa z kluczowych sektorów muszą przygotować się na nowe wymogi w zakresie cyberbezpieczeństwa i ochrony sieci i systemów informatycznych. Rząd zapowiada intensywne działania w tym obszarze, zwłaszcza że bezpieczeństwo cyfrowe stało się priorytetem. Dla firm oznacza to jedno: lepiej rozpocząć dostosowanie się do NIS2 już teraz, niż czekać na ostatnią chwilę.

Dyrektywa NIS2 to konkretna zmiana dla polskich organizacji oraz szansa na realne podniesienie poziomu bezpieczeństwa. Jej skuteczne wdrożenie to dziś nie tylko temat dla działu IT, to wyzwanie biznesowe, które wymaga współpracy całej organizacji. Zgodność z NIS2 to inwestycja w bezpieczeństwo firmy.

Największym wyzwaniem pozostaje codzienna realizacja tych wymagań: szybkie wykrywanie incydentów, zarządzanie alertami oraz pełna kontrola nad infrastrukturą IT. Bez odpowiednich narzędzi trudno dziś zapewnić skuteczność tych działań.

W kolejnym artykule pokazujemy, jak w praktyce automatyzacja i AI wspierają firmy w spełnianiu wymagań NIS2. Przeczytaj o rozwiązaniach WASKO: NEDAPS SEC Automation Center i NEDAPS SEC AI Assistant, które usprawniają działanie i zwiększają bezpieczeństwo.