E-mailinfo@komplus.pl

Telefon(+48) 22 843 20 51

PomocZdalna
Menu
październik 2024

Dyrektywa NIS2 – ważne zmiany dla przedsiębiorców

Dyrektywa NIS2 – ważne zmiany dla przedsiębiorców

Dyrektywa NIS2 zacznie obowiązywać  Polskę od 18 października 2024 r. Dowiedz się, czy wprowadzone zmiany obejmą Twoje przedsiębiorstwo.

Dyrektywa NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii weszła w życie 16 stycznia 2023 r. i zastąpiła dotychczas obowiązującą dyrektywę NIS. Kraje członkowskie mają obowiązek zaimplementować przepisy w niej zawarte do prawa krajowego we wskazanym terminie.

Jakie podmioty obejmie NIS2?

Dyrektywa obejmuje zarówno podmioty publiczne jak i prywatne. 
NIS2 wprowadza podział podmiotów według dwóch nowych kryteriów:

  • podmioty kluczowe (essential entities) 
  • podmioty ważne (important entities)

 

Podmioty kluczowe
to podmioty, których działalność ma wpływ na stabilność społeczną i gospodarczą UE.

1. Duże podmioty z 10 sektorów (Załącznik I Dyrektywy NIS2 – sectors of high criticality) :

  • energetyka
  • transport
  • bankowość i infrastruktura rynków finansowych
  • ochrona zdrowia
  • woda pitna
  • ścieki
  • infrastruktura cyfrowa
  • zarządzanie usługami ICT (technologie informacyjno-komunikacyjne)
  • podmioty administracji publicznej
  • podmioty przestrzeni kosmicznej.

2. Kwalifikowani dostawcy usług zaufania, dostawcy usług DNS czy rejestrów nazw domen najwyższego poziomu – niezależnie od wielkości.

3. Podmioty publiczne.

 

Podmioty ważne
nie spełniające kryteriów podmiotów kluczowych, ale mające istotny wpływ na funkcjonowanie społeczeństwa i gospodarki Unii, a ich działalność w dużej mierze zależy od bezpieczeństwa sieci i systemów informatycznych. Zaliczane są do nich:

1. Podmioty średnie, działające we wskazanych wyżej sektorach kluczowych 
2. Podmioty średnie lub duże, działające w sektorach ważnych (Załącznik II do NIS 2 – other critical sectors)

  • usług pocztowych i kurierskich
  • gospodarowania odpadami
  • produkcji, przetwarzania i dystrybucji chemikaliów
  • produkcji, przetwarzania i dystrybucji żywności
  • produkcji pozostałej
  • dostawców usług cyfrowych
  • badań naukowych

 

Kryteria wielkości podmiotów kluczowych i ważnych, które obejmuje NIS2 

 Przedsiębiorstwo  Liczba pracowników  Roczny obrót
 Duże  250 lub więcej   ponad 50 mln euro
 Średnie  50 lub więcej  ponad 10 mln euro

*) brana jest pod uwagę liczba pracowników i/lub roczny obrót

Najważniejszym obowiązkiem podmiotów kluczowych i ważnych będzie wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych wskazanym organom. Będą musiały przeprowadzić analizę ryzyka cyberbezpieczeństwa oraz wprowadzić odpowiednie i proporcjonalne środki techniczne i procedury w organizacji, które zapewnią im odporność na wszelkiego rodzaju incydenty.

 

Kto określa czy podmiot podlega powyższym kryteriom?

Obowiązkiem podmiotów będzie przeprowadzenie na podstawie przepisów dyrektywy analizy i oceny czy są one podmiotem kluczowym lub ważnym.
Wyjątkiem będą podmioty administracji publicznej oraz podmioty (również mikro i średnie), których nie obejmą powyżej opisane kryteria, ale zostaną uznane na poziomie krajowego ustawodawstwa za ważne, z punktu widzenia świadczonych usług, mogących mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne.
Ustawodawca krajowy musi wskazać organy, które będą dokonywać tej oceny.

 

Kiedy NIS2 w Polsce?

W Polsce, zapisy Dyrektywy NIS implementuje Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku.  07.10.2024 r. Ministerstwo zakończyło prace nad nowelizacją ustawy o KSC. Projekt trafi teraz do dalszego procedowania.

Polska ma czas do 17 października aby zaimplementować przepisy dyrektywy NIS2 do przepisów polskich. 

Kary Administracyjne za brak wdrożenia NIS2

Podmioty kluczowe – co najmniej 10 mln euro lub 2% rocznego obrotu przedsiębiorstwa w poprzednim roku obrotowym
Podmioty ważne – co najmniej 7 mln euro lub 1,4% rocznego obrotu przedsiębiorstwa w poprzednim roku obrotowym

 

Materiały źródłowe:

  • Najważniejsze zmiany nowelizacji Ustawy o KSCczytaj
  • Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa – czytaj
  • Szczegółowe wytyczne dla Polskich podmiotów wydane przez NASK – czytaj
  • Tekst dyrektywy NIS2 na stronie Eur-lex