Dynamiczny rozwój technologii cyfrowych oraz rosnąca liczba zagrożeń w cyberprzestrzeni sprawiają, że bezpieczeństwo sieci i systemów informatycznych stało się jednym z kluczowych wyzwań dla państw Unii Europejskiej. Aby skuteczniej chronić infrastrukturę krytyczną, usługi kluczowe oraz podmioty świadczące istotne usługi cyfrowe, Unia przyjęła Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., znaną jako NIS2. Jest to nowa, rozszerzona wersja wcześniejszej dyrektywy NIS z 2016 r., która wprowadza bardziej rygorystyczne wymagania dotyczące cyberbezpieczeństwa oraz obejmuje znacznie szerszy katalog podmiotów.

NIS2 ma na celu podniesienie poziomu odporności na incydenty cybernetyczne w całej Unii Europejskiej poprzez ujednolicenie standardów, wzmocnienie nadzoru oraz zwiększenie odpowiedzialności organizacji za zarządzanie ryzykiem. Dyrektywa stanowi fundament nowoczesnego podejścia do ochrony zasobów cyfrowych i jest jednym z najważniejszych aktów prawnych UE w obszarze cyberbezpieczeństwa.

Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (ang. Network and Information Security Directive 2) to akt prawny ustanawiający zharmonizowane środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Zastępuje ona wcześniejszą dyrektywę NIS z 2016 r., rozszerzając zakres podmiotów objętych regulacją oraz zaostrzając wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów.

Adresaci dyrektywy NIS2
NIS2 obejmuje szeroki katalog podmiotów, które dzieli na dwie główne kategorie:

1. Podmioty kluczowe
Obejmują m.in. sektory:
– energetyka,
transport,
– bankowość,
– infrastruktura rynków finansowych,
– ochrona zdrowia,
– woda pitna i ścieki,
– infrastruktura cyfrowa,
– administracja publiczna,
– przestrzeń kosmiczna.

2. Podmioty ważne
Obejmują m.in.:
– usługi pocztowe i kurierskie,
– gospodarkę odpadami,
– produkcję i dystrybucję chemikaliów,
– produkcję urządzeń elektronicznych, maszyn i pojazdów,
– dostawców usług cyfrowych (np. platformy handlu elektronicznego, wyszukiwarki).

Podział ten wpływa na poziom nadzoru i sankcji, ale obowiązki w zakresie cyberbezpieczeństwa są w dużej mierze wspólne.

Obowiązki wynikające z dyrektywy NIS2
Dyrektywa nakłada na podmioty obowiązki w trzech głównych obszarach: zarządzanie ryzykiem, zgłaszanie incydentów oraz współpraca z organami nadzorczymi.

1. Zarządzanie ryzykiem w cyberbezpieczeństwie
Podmioty muszą wdrożyć środki techniczne i organizacyjne obejmujące m.in.:
– analizę ryzyka i polityki bezpieczeństwa,
– obsługę incydentów,
– ciągłość działania i odzyskiwanie po awarii,
– bezpieczeństwo łańcucha dostaw,
– bezpieczeństwo sieci i systemów,
– kryptografię i szyfrowanie,
– szkolenia pracowników.

Środki te muszą być proporcjonalne do wielkości organizacji i charakteru świadczonych usług.

2. Zgłaszanie incydentów
Dyrektywa wprowadza wieloetapowy proces raportowania:
– wstępne zgłoszenie – w ciągu 24 godzin od wykrycia incydentu,
– szczegółowe zgłoszenie – w ciągu 72 godzin,
– raport końcowy – w ciągu miesiąca.

Incydent musi być zgłoszony, jeśli ma istotny wpływ na świadczenie usług.

3. Obowiązki zarządcze i odpowiedzialność kierownictwa
Dyrektywa nakłada obowiązek:
– zatwierdzania środków bezpieczeństwa przez kierownictwo,
– nadzorowania ich wdrożenia,
– odbywania szkoleń z zakresu cyberbezpieczeństwa.

Niewywiązywanie się z obowiązków może skutkować sankcjami administracyjnymi.

4. Współpraca z organami krajowymi
Podmioty muszą:
– udostępniać informacje na żądanie organów,
– poddawać się kontrolom,
– wdrażać zalecenia pokontrolne.

Terminy wdrożenia dyrektywy NIS2
Państwa członkowskie UE mają obowiązek przyjąć przepisy krajowe wdrażające dyrektywę do 17 października 2024 r. Od tego momentu podmioty objęte regulacją będą musiały stosować nowe wymagania zgodnie z przepisami krajowymi.

Znaczenie dyrektywy NIS2 dla organizacji
Dyrektywa NIS2 znacząco podnosi poprzeczkę w zakresie cyberbezpieczeństwa. Najważniejsze konsekwencje to:
– objęcie regulacją znacznie większej liczby podmiotów niż dotychczas,
– obowiązek wdrożenia formalnych procesów zarządzania ryzykiem,
– zwiększona odpowiedzialność kierownictwa,
– surowsze sankcje za naruszenia,
– konieczność raportowania incydentów w krótkich terminach.