Wprowadzenie do NIS2

Dyrektywa NIS2 (Network and Information Security Directive 2) weszła w życie w Unii Europejskiej w 2023 roku, zastępując dyrektywę NIS z 2016 roku. Wyznacza minimalne standardy cyberbezpieczeństwa dla szerokiego katalogu podmiotów operujących w UE, ze szczególnym uwzględnieniem sektorów infrastruktury krytycznej.

Polska zobowiązana była do transpozycji dyrektywy do prawa krajowego. Implementacja odbywa się poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Zakres podmiotowy

NIS2 dzieli podmioty na dwie kategorie o różnym stopniu wymagań i nadzoru:

Podmioty kluczowe

Obejmują duże podmioty z sektorów: energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.

Podmioty ważne

Obejmują średnie podmioty z sektorów kluczowych oraz duże i średnie podmioty z sektorów: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja (wybrane branże), dostawcy usług cyfrowych, badania naukowe.

Wymagania bezpieczeństwa

Artykuł 21 NIS2 nakłada obowiązek stosowania przez objęte podmioty środków zarządzania ryzykiem cyberbezpieczeństwa, obejmujących co najmniej:

  • polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informacyjnych,
  • postępowanie z incydentami (zapobieganie, wykrywanie, reagowanie i zgłaszanie),
  • ciągłość działania — kopie zapasowe, przywracanie po awarii, zarządzanie kryzysowe,
  • bezpieczeństwo łańcucha dostaw,
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów,
  • polityki i procedury oceny skuteczności środków,
  • podstawowe praktyki cyberhigieny i szkolenia,
  • polityki i procedury kryptografii,
  • bezpieczeństwo zasobów ludzkich, kontrolę dostępu i zarządzanie aktywami,
  • uwierzytelnianie wieloskładnikowe lub ciągłe.

Zgłaszanie incydentów

NIS2 wprowadza trzyetapowy system zgłaszania poważnych incydentów do właściwych organów:

  • Wczesne ostrzeżenie — w ciągu 24 godzin od stwierdzenia incydentu.
  • Powiadomienie o incydencie — w ciągu 72 godzin, z wstępną oceną i wskaźnikami.
  • Sprawozdanie końcowe — w ciągu miesiąca od powiadomienia.

Poważny incydent definiowany jest jako taki, który powoduje lub może powodować poważne zakłócenia operacyjne lub straty finansowe dla danego podmiotu, lub który wpływa na inne osoby fizyczne lub prawne.

Wdrożenie w Polsce

Polska implementuje NIS2 poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Kluczową rolę w polskim ekosystemie KSC pełnią sektorowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) — CSIRT GOV, CSIRT MON oraz CSIRT NASK.

Organy właściwe dla poszczególnych sektorów odpowiadają za identyfikację podmiotów i nadzór nad ich zgodnością z wymaganiami KSC. Podmioty objęte zakresem zobowiązane są do rejestracji i realizacji wymagań w terminach określonych przez przepisy krajowe.

Articles published on this website summarize publicly available information, industry research and educational materials.

Najczęstsze pytania

Jak sprawdzić, czy moja organizacja jest objęta NIS2?
Należy zidentyfikować sektor działalności oraz wielkość podmiotu (kryterium: co najmniej 50 pracowników lub roczny obrót powyżej 10 mln EUR). Organy właściwe dla poszczególnych sektorów prowadzą rejestry podmiotów kluczowych i ważnych.
Jakie kary grożą za nieprzestrzeganie NIS2?
Dyrektywa przewiduje kary administracyjne do 10 mln EUR lub 2% globalnego rocznego obrotu dla podmiotów kluczowych oraz do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych. Polskie przepisy mogą określać szczegółowe stawki w ramach tych maksimów.
Czy NIS2 zastępuje inne obowiązki regulacyjne?
NIS2 nie zastępuje RODO ani sektorowych regulacji branżowych. Stanowi dodatkową warstwę wymagań w zakresie cyberbezpieczeństwa, a organizacje podlegające wielu regulacjom muszą spełniać wszystkie z nich równocześnie.
Jaka jest różnica między NIS a NIS2?
NIS2 rozszerza zakres podmiotowy (więcej sektorów i podmiotów), zaostrza wymagania bezpieczeństwa, harmonizuje sankcje w UE i wprowadza bardziej szczegółowe zasady zgłaszania incydentów. Znosi też wcześniejsze uznaniowości dotyczące wyznaczania operatorów usług kluczowych.