Dyrektywa NIS 2 (Network and Information Systems Directive 2) to kluczowa inicjatywa Unii Europejskiej, której celem jest wzmocnienie poziomu cyberbezpieczeństwa w krajach członkowskich. Stanowi ona nowelizację pierwotnej dyrektywy NIS, przyjętej w 2016 r., będącej pierwszym aktem prawnym UE w dziedzinie cyberbezpieczeństwa.
Dyrektywa NIS 2 wprowadza istotne zmiany, które mają pomóc w dostosowaniu regulacji do współczesnych zagrożeń cybernetycznych oraz w zwiększeniu odporności kluczowych sektorów gospodarki.
Główne założenia dyrektywy NIS 2
Dyrektywa NIS 2 wprowadza szereg kluczowych zmian i nowych wymagań, które mają na celu wzmocnienie ochrony systemów informatycznych i sieci w całej Unii Europejskiej. Najważniejsze z nich to:
Rozszerzenie zakresu zastosowania
NIS 2 obejmuje znacznie szerszy zakres sektorów i usług w porównaniu do pierwotnej dyrektywy NIS. Nowe sektory objęte regulacjami to między innymi zarządzanie wodami, gospodarka odpadami, produkcja i dystrybucja żywności oraz usługi cyfrowe, takie jak rejestracje domen internetowych i platformy handlowe online.
Dyrektywa obejmuje firmy średnie i duże z kluczowych sektorów (energetyka, transport, finanse, itp.), a także mniejsze firmy o istotnym wpływie na gospodarkę (kurierzy, producenci żywności, instytucje naukowe). Szacuje się, że w Polsce dotyczyć to może nawet 4 tys. firm!
Wzmocnienie wymogów dotyczących raportowania incydentów
Organizacje objęte dyrektywą NIS 2 będą musiały raportować incydenty bezpieczeństwa w ściśle określonym czasie, co pozwoli na szybszą reakcję i współpracę pomiędzy krajami członkowskimi. Wymogi te obejmują również bardziej szczegółowe informacje na temat incydentów, co ma pomóc w lepszym zrozumieniu i przeciwdziałaniu zagrożeniom.
Podniesienie standardów bezpieczeństwa
NIS 2 wprowadza bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa oraz stosowania odpowiednich środków technicznych i organizacyjnych w celu ochrony systemów informatycznych. Podmioty nią objęte będą miały obowiązek przeprowadzania między innymi regularnych audytów bezpieczeństwa, wdrażania polityk zarządzania incydentami oraz szkolenia dla pracowników.
Silniejsza współpraca i koordynacja
Dyrektywa promuje ściślejszą współpracę pomiędzy krajami członkowskimi, w tym wymianę informacji i najlepszych praktyk, a także wspólne ćwiczenia z zakresu cyberbezpieczeństwa. Wprowadza również obowiązek tworzenia krajowych strategii cyberbezpieczeństwa oraz ustanawiania organów odpowiedzialnych za ich realizację.
Wdrożenie Dyrektywy NIS-2 w Polsce
W Polsce przygotowania do wdrożenia dyrektywy NIS-2 są w toku. 10 kwietnia w wykazie prac legislacyjnych Kancelarii Prezesa Rady Ministrów pojawiła się informacja o przygotowaniu projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Termin na wdrożenie unijnej Dyrektywy NIS-2 upływa bowiem już 17 października 2024 roku, co stawia przed polskim rządem i organizacjami duże wyzwania.
Najważniejsze zmiany wprowadzone przez projekt ustawy
Projekt ustawy zakłada szereg istotnych zmian, które mają na celu dostosowanie polskiego prawa do wymogów NIS-2. Wśród nich znajdują się m.in. zapisy związane z rozszerzeniem katalogu podmiotów objętych regulacją – o nowe sektory gospodarki.
Ponadto nowe przepisy obejmują nałożenie obowiązków w zakresie zarządzania ryzykiem na podmioty kluczowe i ważne, wprowadzenie możliwości zgłaszania incydentów za pomocą ministerialnego systemu teleinformatycznego do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego, obowiązek posiadania własnego systemu zarządzania ciągłością działania, a także zwiększenie uprawnień organów odpowiedzialnych za nadzór nad cyberbezpieczeństwem.
Ustawa zakłada także utworzenie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę oraz wprowadzenie nowych administracyjnych kar pieniężnych za niewykonanie obowiązków.
Istotnym elementem jest również obowiązek zapewnienia bezpieczeństwa łańcucha dostaw produktów i usług, co ma na celu ochronę przed atakami na krytyczne elementy infrastruktury informatycznej.
Wyzwania i przyszłość
Wdrożenie dyrektywy NIS-2 wiąże się z licznymi wyzwaniami, zarówno na poziomie krajowym, jak i na poziomie poszczególnych organizacji. Przedsiębiorcy będą musieli stawić czoła m.in. takim kwestiom, jak:
- Brak jednoznacznych wytycznych co do identyfikacji podmiotów podlegających przepisom oraz brak aktów wykonawczych UE, które mają pojawić się dopiero w połowie 2025 roku;
- niska świadomość wśród firm, co stanowi istotne wyzwanie w kontekście wdrożenia nowych wymagań;
- deficyt specjalistów ds. cyberbezpieczeństwa, co utrudnia firmom i organizacjom wdrożenie odpowiednich zabezpieczeń i procedur;
- krótkie terminy wdrożenia – planowany termin przyjęcia projektu przez Radę Ministrów to III kwartał 2024 roku, co oznacza, że podmioty objęte ustawą mają ograniczony czas na dostosowanie się do nowych wymagań.
Jak Doradcy365 mogą wspierać polskich przedsiębiorców w tym zakresie?
Eksperci marki Doradcy365 oferują szerokie wsparcie dla firm w zakresie spełniania wymogów dyrektywy NIS 2, w tym:
- Określenie, czy firma podlega obowiązkom dyrektywy NIS 2
- Przeprowadzenie oceny ryzyka i wdrożenie odpowiednich zabezpieczeń
- Opracowanie procedur zarządzania incydentami IT
- Zapewnienie odpowiednich szkoleń dla pracowników
- Monitorowanie zmian w przepisach i wytycznych UE
Po więcej informacji o naszych usługach w zakresie cyberbezpieczeństwa zapraszamy na https://doradcy365.pl/cyberbezpieczenstwo.
Dyrektywa NIS 2 stanowi istotny krok w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej, w tym w Polsce. Jej implementacja wymaga od podmiotów nią objętych znaczących zmian w zakresie zarządzania ryzykiem i bezpieczeństwem informatycznym. Mimo licznych wyzwań, jakie wiążą się z wdrożeniem nowych przepisów, dyrektywa oferuje również szereg korzyści, w tym zwiększenie odporności na zagrożenia cybernetyczne i lepszą ochronę infrastruktury krytycznej. Przedsiębiorcy powinni jak najszybciej rozpocząć przygotowania do spełnienia nowych wymagań, aby zapewnić sobie długoterminowe bezpieczeństwo i zgodność z przepisami.
Autor: Rafał Czerkawski, prezes zarządu Doradcy365
O autorze: Rafał Czerkawski ma ponad 25-letnie doświadczenie na stanowiskach managerskich i zarządczych w różnych branżach, w tym w bankowości, konsultingu, szkoleniach, start-upach oraz firmach produkcyjnych, handlowych i usługowych, a także ponad 20-letnie doświadczenie w pozyskiwaniu środków dotacyjnych. W tym czasie uczestniczył w realizacji, przygotowaniu i rozliczaniu ponad 2500 projektów obejmujących projekty inwestycyjne w tym w zakresie IT i cyberbezpieczeństwa, prace badawczo-rozwojowe, szkoleniowe, infrastrukturalne, doradcze i społeczne, na łączną kwotę przekraczającą 1 miliard złotych. Współtworzył od podstaw nowe podmioty oraz doradzał w rozwijaniu istniejących firm i instytucji publicznych.