Czym jest NIS2?

NIS2 to dyrektywa UE (2022/2555), która zastępuje wcześniejszą NIS i ujednolica wymagania dotyczące bezpieczeństwa sieci oraz systemów informatycznych w całej Unii Europejskiej. Jej celem jest ochrona ciągłości działania usług kluczowych dla społeczeństwa – od energii i finansów, po usługi cyfrowe i administrację publiczną.

Kogo dotyczy NIS2?

Dyrektywa obejmuje tzw. podmioty kluczowe i ważne, czyli organizacje działające w sektorach o szczególnym znaczeniu dla funkcjonowania państwa i gospodarki. Kwalifikacja zależy m.in. od sektora, wielkości organizacji i roli w łańcuchu dostaw – również mniejsze podmioty mogą zostać objęte obowiązkami, jeśli pełnią istotną funkcję dla danego sektora.

Kto jest podmiotem kluczowym?

Do podmiotów kluczowych zalicza się m.in.:

• energetykę (w tym OZE), ciepłownictwo, ropę i gaz,
• transport (kolej, lotnictwo, porty, transport drogowy),
• wodę i ścieki,
• zdrowie (np. szpitale) i wybrane podmioty o znaczeniu systemowym,
• finanse i infrastrukturę rynku finansowego,
• infrastrukturę cyfrową (np. centra danych, usługi chmurowe, DNS),
• wybrane obszary administracji publicznej.

Są to organizacje, których zakłócenie działania mogłoby mieć istotny wpływ na bezpieczeństwo, zdrowie, porządek publiczny lub stabilność gospodarki.

Kto jest podmiotem ważnym?

Podmioty ważne to organizacje, które również mają znaczenie dla bezpieczeństwa i ciągłości usług, choć ich wpływ systemowy jest mniejszy niż w przypadku podmiotów kluczowych.

Mogą to być m.in.:

• dostawcy usług cyfrowych, chmury, hostingu oraz oprogramowania dla biznesu,
• wybrane podmioty produkcyjne i usługowe istotne dla łańcuchów dostaw,
• operatorzy usług pocztowych i kurierskich, gospodarki odpadami oraz usług komunalnych,
• jednostki administracji publicznej o znaczeniu regionalnym lub lokalnym.

Jeśli Twoja organizacja świadczy usługi, od których zależy funkcjonowanie innych firm lub mieszkańców – warto zweryfikować kwalifikację.

Główne wymagania NIS2

NIS2 wymaga, aby cyberbezpieczeństwo stało się stałym, zarządzanym procesem – nadzorowanym na poziomie kierownictwa.

• regularna identyfikacja i ocena ryzyka,
• środki techniczne (segmentacja, MFA, szyfrowanie, backup, monitoring),
• procedury reagowania na incydenty i ich zgłaszanie,
• zarządzanie bezpieczeństwem dostawców IT,
• szkolenia i nadzór kierownictwa,
• dokumentowanie działań.

Kary za brak zgodności

NIS2 przewiduje sankcje finansowe i środki nadzorcze. Wysokość kar zależy od kategorii podmiotu oraz przepisów implementujących dyrektywę w danym kraju.

NIS2 a polskie przepisy (KSC)

• doprecyzowanie kategorii podmiotów,
• obowiązek zgłoszenia/rejestracji (jeżeli dotyczy),
• wymagania dot. zarządzania ryzykiem i incydentami,
• obowiązki dowodowe (dokumentacja, audyty, testy),
• uprawnienia organów nadzorczych.

Jak możemy pomóc?

• weryfikacja podlegania pod NIS2 i klasyfikacji,
• gap analysis i plan wdrożenia,
• projekt i wdrożenie środków technicznych,
• procedury IR/BCP/DRP + testy,
• przygotowanie dokumentacji i wsparcie w kontroli.