Dyrektywa NIS2 zacznie obowiązywać kraje członkowskie, w tym Polskę od 17 października 2024 r. Dowiedz się, czy wprowadzone zmiany obejmą Twoje przedsiębiorstwo.
Dyrektywa NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii weszła w życie 16 stycznia 2023 r. i zastąpiła dotychczas obowiązującą dyrektywę NIS. Kraje członkowskie mają obowiązek zaimplementować przepisy w niej zawarte do prawa krajowego we wskazanym terminie.
Jakie podmioty obejmie NIS2?
Dyrektywa obejmuje zarówno podmioty publiczne jak i prywatne.
NIS2 wprowadza podział podmiotów według dwóch nowych kryteriów:
- podmioty kluczowe (essential entities)
- podmioty ważne (important entities)
Podmioty kluczowe to podmioty, których działalność ma wpływ na stabilność społeczną i gospodarczą UE.
Zalicza się do nich:
1. Podmioty, które działają w 10 sektorach (Załącznik I Dyrektywy NIS2 – sectors of high criticality):
- energetyka
- transport
- bankowość i infrastruktura rynków finansowych
- ochrona zdrowia
- woda pitna
- ścieki
- infrastruktura cyfrowa
- zarządzanie usługami ICT (technologie informacyjno-komunikacyjne)
- podmioty administracji publicznej
- podmioty przestrzeni kosmicznej.
Obowiązuje podmioty duże z powyższych sektorów, tzn. zatrudniające powyżej 250 pracowników oraz których obroty roczne przekraczają 50 mln euro, i/lub których roczna suma bilansowa przekracza 43 mln euro.
2. Kwalifikowanych dostawców usług zaufania, dostawców usług DNS czy rejestrów nazw domen najwyższego poziomu – niezależnie od wielkości.
3. Podmioty publiczne.
Podmioty ważne wg. definicji to podmioty nie spełniające kryteriów podmiotów kluczowych, ale mające istotny wpływ na funkcjonowanie społeczeństwa i gospodarki Unii, a ich działalność w dużej mierze zależy od bezpieczeństwa sieci i systemów informatycznych. Zaliczane są do nich:
1. Podmioty średnie, działające we wskazanych wyżej sektorach kluczowych
2. Podmioty średnie lub duże, działające w sektorach ważnych (Załącznik II do NIS 2 – other critical sectors)
- usług pocztowych i kurierskich
- gospodarowania odpadami
- produkcji, przetwarzania i dystrybucji chemikaliów
- produkcji, przetwarzania i dystrybucji żywności
- produkcji pozostałej
- dostawców usług cyfrowych
- badań naukowych
Podmioty średnie to takie, które zatrudniają co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro.
Podmioty duże, zatrudniające powyżej 250 pracowników oraz których obroty roczne przekraczają 50 mln euro, i/lub których roczna suma bilansowa przekracza 43 mln euro.
Najważniejszym obowiązkiem podmiotów kluczowych i ważnych będzie wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych wskazanym organom. Będą musiały przeprowadzić analizę ryzyka cyberbezpieczeństwa oraz wprowadzić odpowiednie i proporcjonalne środki techniczne i procedury w organizacji, które zapewnią im odporność na wszelkiego rodzaju incydenty.
Kto określa czy podmiot podlega powyższym kryteriom?
Obowiązkiem podmiotów będzie przeprowadzenie na podstawie przepisów dyrektywy analizy i oceny czy są one podmiotem kluczowym lub ważnym.
Wyjątkiem będą podmioty administracji publicznej oraz podmioty (również mikro i średnie), których nie obejmą powyżej opisane kryteria, ale zostaną uznane na poziomie krajowego ustawodawstwa za ważne, z punktu widzenia świadczonych usług, mogących mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne.
Ustawodawca krajowy musi wskazać organy, które będą dokonywać tej oceny.
Kiedy NIS2 w Polsce?
W Polsce, zapisy Dyrektywy NIS implementuje Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku. Polska ma czas do 17 października aby zaimplementować przepisy dyrektywy NIS2 do przepisów polskich.
Ma obowiązek wyznaczyć co najmniej jeden właściwy organ odpowiedzialny za prawidłowe stosowanie i egzekwowanie przepisów na poziomie krajowym. Wyznaczony organ może prowadzić kontrole i audyty w podmiotach.
Szczegółowe wytyczne dla Polskich podmiotów wydane przez NASK – przeczytaj
Tekst dyrektywy NIS2 na stronie Eur-lex