Dyrektywa NIS2 – najważniejsze informacje
NIS2 – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – weszła w życie 18 października 2024 roku. W Polsce przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
A to, jak zapowiada Ministerstwo Cyfryzacji, nastąpi w pierwszym kwartale 2025 r. Przyjrzyjmy się bliżej głównym założeniom nowych regulacji i zmianom, które nastąpią w przepisach.
Z tego artykułu dowiesz się między innymi:
- Jakie są podstawowe założenia dyrektywy NIS2.
- Kogo obowiązują nowe przepisy.
- Jak kształtuje się podział na podmioty ważne i kluczowe.
- Co wiemy o rejestrze podmiotów kluczowych i ważnych.
- Które podmioty określamy jako kluczowe…
- …a które jako ważne.
- Jak w świetle nowych przepisów traktowana jest gospodarka odpadami.
- Kogo nie obowiązuje NIS2.
- Jakie obowiązki wynikają z dyrektywy.
- Co przepisy zmieniają w ramach świadczenia usług cyfrowych.
- Jakie wymagania dyrektywa nakłada na platformy cyfrowe.
- W jaki sposób należy zgłaszać incydenty cyberbezpieczeństwa.
- Jakie kary grożą za naruszenie przepisów.
- Kto sprawuje nadzór nad realizacją obowiązków.
Główne założenia NIS2
NIS 2 określa nowe zasady bezpieczeństwa dla operatorów usług kluczowych zarówno w sektorze publicznym, jak i prywatnym. Dyrektywa NIS2 dotyczy firm, które działają w branżach o wysokim stopniu krytyczności. To przedsiębiorcy, którzy zapewniają systemy w ramach infrastruktury krytycznej, na przykład zaopatrzenia w energię, surowce energetyczne i paliwa, łączności, sieci teleinformatycznych, finansowe, zaopatrzenia w żywność.
Kogo obowiązuje NIS2
Podmioty kluczowe to przede wszystkim duże firmy. Ale w określonych przypadkach podmiotem tego typu może być też firma mała lub średnia. Z kolei podmioty ważne to najczęściej mikro, mali lub średni przedsiębiorcy.
Jednak to nie wielkość firmy jest decydująca o przynależności do konkretnej grupy. Zgodnie z dyrektywą NIS2 podmiotem kluczowym, niezależnie od wielkości, jest:
1. Przedsiębiorca, który świadczy określone kategorie usług cyfrowych z sektora infrastruktury cyfrowej, czyli jest dostawcą:
- usług TLD (top level domain),
- usług DNS (domain name server),
- kwalifikowanych usług zaufania,
- publicznych sieci łączności elektronicznej,
- publicznie dostępnych usług łączności elektronicznej.
2. Mała lub średnia firma, zakwalifikowana przez właściwe organy krajowe jako podmiot krytyczny, w rozumieniu dyrektywy w sprawie odporności podmiotów krytycznych [1]. Zasady kwalifikacji zostaną ustalone w ustawie wdrażającej NIS2.
Dyrektywa NIS2 obowiązuje mikro, małe i średnie firmy, które spełniają przynajmniej jeden z trzech poniższych warunków.
- Świadczą na terenie UE usługi w sektorze objętym dyrektywą NIS2 i zostały sklasyfikowane przez Ministerstwo Cyfryzacji jako podmioty kluczowe.
- Świadczą na terenie UE usługi w sektorze objętym dyrektywą NIS2 i zostały sklasyfikowane jako podmioty ważne.
- Spełniają jedną z przesłanek:
– są dostawcą usługi, która ma w Polsce kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej,
– zakłócenie usługi, którą świadczą, mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne,
– zakłócenie usługi, którą świadczą, mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny,
– mają charakter krytyczny ze względu na ich szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi, lub dla innych współzależnych sektorów.
Podmioty kluczowe i ważne – zmiana podziału
Nowa dyrektywa NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dzieli je na podmioty kluczowe i podmioty ważne. Dyrektywa obejmuje średnie przedsiębiorstwa z sektorów publicznych i prywatnych z państw członkowskich UE.
Nowa dyrektywa rozszerza katalog organizacji o takie branże, jak:
- energetyka,
- transport,
- bankowość i finanse,
- wodno-kanalizacyjna,
- opieka zdrowotna,
- administracja publiczna
- produkcja żywności.
Rejestr podmiotów ważnych i kluczowych
To na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz usługi świadczone w sektorze/sektorach objętych dyrektywą sprawiają, że podlega przepisom NIS2. Nazywamy to mechanizmem samoidentyfikacji.
Podmioty ważne oraz podmioty kluczowe mają obowiązek przekazać wniosek o wpis do wykazu. Wykaz ten będzie prowadzony przez ministra cyfryzacji w terminie określonym przez tego ministra. Będzie można to zrobić drogą elektroniczną.
Podmioty kluczowe według NIS2
Grupę branż uznanych za podmioty kluczowe wskazuje załącznik I dyrektywy. Znalazły się w tej grupie:
- energetyka,
- transport,
- bankowość,
- infrastruktura rynków finansowych,
- opieka zdrowotna,
- sektor wody pitnej,
- ścieki,
- infrastruktura cyfrowa,
- zarządzanie usługami ICT,
- administracja publiczna,
- przestrzeń kosmiczna.
Podmioty ważne według NIS2
Zgodnie z załącznikiem II dyrektywy do grupy ważnych podmiotów zaliczamy firmy działające w następujących gałęziach gospodarki:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja, przetwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności,
- produkcja (w szerokim znaczeniu),
- usługi cyfrowe,
- badania naukowe.
Gospodarka odpadami
Dyrektywa ma na celu podniesienie poziomu cyberbezpieczeństwa sektorów o wysokim i krytycznym znaczeniu. Usługi wodociągowe i kanalizacyjne zostały w NIS2 uznane za wysoce krytyczne.
Na liście ważnych podmiotów znalazły się między innymi firmy gospodarujące odpadami. Mniejsze podmioty będą nią objęte, jeżeli zakłócenie usługi przez nie świadczonej mogłoby mieć znaczący wpływ na bezpieczeństwo i zdrowie publiczne.
Kogo nie obowiązuje
Przepisów dyrektywy NIS2 nie stosuje się do przedsiębiorców, którzy świadczą usługi:
- w innych niż wyżej wymienionych sektorach gospodarki a ich działalność nie pełni kluczowej roli dla społeczeństwa i gospodarki,
- wyłącznie na rzecz podmiotów administracji publicznej, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania.
A także takich, którzy:
- zostaną zwolnieni z obowiązków ustanowienia środków zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszania incydentów w odniesieniu do prowadzonych przez siebie działań lub świadczonych usług,
- zostali zwolnieni ze stosowania rozporządzenia DORA, czyli Rozporządzenia w sprawie operacyjnej odporności cyfrowej dla sektora finansowego.
Obowiązki wynikające z NIS2
Zgodnie z NIS2 przedsiębiorcy kluczowi i ważni muszą wdrożyć odpowiednie i proporcjonalne środki techniczne, operacyjne, organizacyjne w firmie, a także zgłaszać incydenty cyberbezpieczeństwa.
Dyrektywa NIS2 nie określa, jakie konkretnie środki zarządzania ryzykiem w cyberbezpieczeństwie powinien wdrożyć przedsiębiorca. Wskazuje jednak, jakie te środki mają być i określa je jako uwzględniające:
- stopień narażenia podmiotu na ryzyko,
- wielkość podmiotu,
- prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki, społeczne i gospodarcze.
oraz - proporcjonalne.
Firmy objęte NIS2 powinny zapewnić co najmniej:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych
- obsługę incydentu,
- ciągłość działania, na przykład zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
- bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
- polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
- bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Usługi cyfrowe w ramach NIS2
W kontekście NIS2 „usługi cyfrowe” obejmują szeroki wachlarz usług, które są świadczone za pomocą technologii informacyjnych i komunikacyjnych (ICT).
Dostawcy usług chmurowych (cloud computing)
Usługi chmurowe, takie jak przechowywanie danych w chmurze, obliczenia w chmurze i inne formy chmurowych usług IT. Są one kluczowe dla wielu organizacji. NIS2 nakłada obowiązki na dostawców chmurowych w zakresie ochrony danych oraz bezpieczeństwa infrastruktury, która przechowuje i przetwarza dane krytyczne dla działalności ich klientów.
Platformy e-commerce i inne platformy cyfrowe
Dotyczy to firm świadczących usługi e-commerce, takie jak platformy sprzedaży internetowej (np. Amazon, eBay), jak również inne platformy internetowe, które umożliwiają wymianę informacji i transakcje online. NIS2 wymaga od tych platform zapewnienia odpowiednich standardów bezpieczeństwa. Zwłaszcza w kontekście ochrony danych osobowych, zapewnienia dostępności platformy i przeciwdziałania atakom cybernetycznym.
Wyszukiwarki internetowe
Wyszukiwarki, takie jak Google, muszą również przestrzegać wymogów NIS2, zwłaszcza w zakresie zapewnienia integralności systemów informacyjnych i ochrony przed atakami, które mogą zakłócić ich działanie lub spowodować wyciek danych.
Usługi hostingowe
Dostawcy usług hostingowych, którzy przechowują i udostępniają treści w Internecie (np. serwery, usługi WWW), muszą zapewnić odpowiedni poziom zabezpieczeń i dostępności, aby uniknąć przestojów, które mogą mieć poważne skutki gospodarcze i społeczne.
Usługi związane z wymianą treści (content-sharing)
Usługi umożliwiające wymianę treści w Internecie, takie jak serwisy wideo, sieci społecznościowe (np. YouTube, Facebook), również podlegają regulacjom NIS2. Muszą zapewnić odpowiednią ochronę danych użytkowników i zapobiegać wyciekom lub atakom na swoje systemy.
Główne wymagania dla platform cyfrowych
Zwiększone bezpieczeństwo
Operatorzy platform internetowych muszą wdrożyć odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia swoich systemów informacyjnych przed zagrożeniami. Dotrzymywanie odpowiednich standardów bezpieczeństwa (np. stosowanie odpowiednich protokołów szyfrowania) staje się obowiązkowe.
Zarządzanie ryzykiem
Podmioty te muszą przeprowadzać regularną ocenę ryzyka i zaimplementować odpowiednie środki zaradcze w przypadku wykrycia zagrożeń w swoich systemach informacyjnych.
Wymogi raportowania
Platformy internetowe powinny zgłaszać incydenty bezpieczeństwa, które mogą mieć poważne skutki dla ich działalności lub dla innych podmiotów. W zależności od rodzaju incydentu, organizacje mają określony czas na zgłoszenie incydentu (np. 24 godziny dla poważnych zagrożeń).
Nadzór i kontrola
Państwa członkowskie Unii Europejskiej będą miały obowiązek wprowadzenia odpowiednich organów nadzoru. Organy te będą monitorować i egzekwować przestrzeganie wymagań NIS2 w stosunku do platform internetowych. W razie wykrycia niezgodności mogą nałożyć sankcje.
Współpraca między państwami członkowskimi
NIS2 zakłada ścisłą współpracę między państwami członkowskimi w zakresie wymiany informacji o zagrożeniach i incydentach cyberbezpieczeństwa.
Wymogi dla usług cyfrowych w kontekście NIS2
W ramach NIS2 operatorzy usług cyfrowych mają szereg obowiązków dotyczących bezpieczeństwa sieci i systemów informacyjnych. Do najważniejszych należą:
Zarządzanie ryzykiem
Usługodawcy muszą przeprowadzać ocenę ryzyka swoich systemów informacyjnych i wdrożyć odpowiednie środki zaradcze, aby zminimalizować potencjalne zagrożenia. Należy zidentyfikować i zrozumieć zagrożenia oraz ocenić ich potencjalny wpływ na działalność.
Środki techniczne i organizacyjne
Usługi cyfrowe muszą wdrożyć odpowiednie środki ochrony przed zagrożeniami cybernetycznymi, takie jak: ochrona przed atakami DDoS (Distributed Denial of Service), zabezpieczenie danych za pomocą szyfrowania, użycie zapór ogniowych i systemów wykrywania intruzów.
Zgłaszanie incydentów bezpieczeństwa
Jeśli wystąpi poważny incydent bezpieczeństwa, usługi cyfrowe są zobowiązane do zgłoszenia go odpowiednim organom nadzoru w wyznaczonym czasie (np. w ciągu 24 godzin od wykrycia incydentu). Celem jest szybkie reagowanie na incydenty i minimalizacja ich skutków.
Ciągłość działania i odzyskiwanie po awarii
Usługodawcy muszą mieć plany awaryjne i strategie odzyskiwania danych oraz systemów po awarii. Oznacza to zapewnienie wysokiej dostępności usług, nawet w przypadku ataków lub innych zakłóceń.
Szkolenie personelu
Pracownicy świadczący usługi cyfrowe muszą być odpowiednio przeszkoleni w zakresie cyberbezpieczeństwa, aby rozumieli zagrożenia i byli w stanie szybko zareagować na potencjalne problemy.
Współpraca z organami nadzoru
Platformy świadczące usługi cyfrowe muszą współpracować z organami krajowymi i europejskimi odpowiedzialnymi za monitorowanie przestrzegania wymogów NIS2. Mogą być przeprowadzane audyty i inspekcje.
Bezpieczeństwo łańcucha dostaw
Usługodawcy muszą zadbać o bezpieczeństwo w całym łańcuchu dostaw, co oznacza, że muszą weryfikować swoich poddostawców pod kątem spełniania wymogów bezpieczeństwa IT.
Zgłaszanie incydentów cyberbezpieczeństwa
Przedsiębiorca ma w sytuacji wystąpienia poważnego incydentu kilka obowiązków.
Przede wszystkim zgłosić to bez zbędnej zwłoki właściwemu CSIRT – Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego lub innemu organowi właściwemu (który zostanie określony w ustawie wdrażającej dyrektywę NIS2).
W tym samym czasie musi zgłosić informacje umożliwiające ustalenie transgranicznego wpływu incydentu oraz przekazać niezbędne informacje odbiorcom. To znaczy powiadomić odbiorców usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają. Ale również poinformować odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie. W stosownych wypadkach należy poinformować ich również o samym poważnym cyberzagrożeniu.
Incydent uznaje się za poważny, jeżeli:
● spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu,
● wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Przedsiębiorca informuje o poważnym incydencie:
● bezzwłocznie, maksymalnie w ciągu 24 godzin, – wczesne ostrzeżenie ze wskazaniem, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny
● maksymalnie 72 godziny, ale w założeniu również bezzwłocznie – zgłoszenie incydentu z ewentualną aktualizacją informacji przekazanych w ramach wczesnego ostrzeżenia i wstępną oceną poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu.
Jeżeli poważny incydent dotyczy co najmniej dwóch państw członkowskich UE, CSIRT, właściwy organ lub pojedynczy punkt kontaktowy bez zbędnej zwłoki informują o tym poważnym incydencie pozostałe państwa członkowskie, których on dotyczy, a także ENISA.
Jeśli poważny incydent miał cechy przestępstwa, CSIRT lub właściwy organ informują również organy ścigania. Na wniosek CSIRT lub właściwego organu pojedynczy punkt kontaktowy przekazuje zgłoszenia incydentów transgranicznych lub międzysektorowych pojedynczym punktom kontaktowym w innych państwach członkowskich, których dotyczy incydent.
Dobrowolne zgłaszanie incydentów lub cyberzagrożeń:
Zgłoszenia do CSIRT lub właściwych organów mogą dobrowolnie przekazywać:
● podmioty kluczowe i ważne w przypadku incydentów, cyberzagrożeń i potencjalnych zdarzeń dla cyberbezpieczeństwa
● inne podmioty, niezależnie od tego, czy są objęte NIS2, w odniesieniu do poważnych incydentów, cyberzagrożeń oraz potencjalnych zdarzeń dla cyberbezpieczeństwa.
Kary za naruszenie przepisów
W przypadku podmiotów kluczowych za złamanie zasad zarządzania ryzykiem lub zgłaszania incydentów, mogą zostać nałożone kary administracyjne sięgające nawet 10 mln euro lub 2% łącznego rocznego obrotu. Podmioty ważne mogą zostać ukarane grzywną w wysokości 7 mln euro lub 1,4% łącznego rocznego obrotu.
Dyrektywa NIS2 przewiduje także możliwość nakładania okresowych kar pieniężnych, aby wymusić przestrzeganie przepisów oraz wprowadza sankcje karne z tytułu naruszenia przepisów dyrektywy.
Organy sprawujące nadzór na realizacją obowiązków wynikających z NIS2
Organy wyznaczone w danym Państwie członkowskim – w Polsce właściwy organ zostanie określony w ustawie wdrażającej dyrektywę NIS2, w zakresie zgłaszania incydentów – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT.
Masz wątpliwości? Szukasz wsparcia prawnego dla swojej firmy w zakresie NIS2 lub innych przepisów? Zachęcam do kontaktu! Napisz do mnie pod adres kontakt@krzywicka.pl lub wykup w sklepie Dimotely konsultacje (dostępne w opcji 30 minut lub 60 minut).
Interesują Cię tematy takie jak ten? Zapraszam Cię do obserwowania moich treści – nie tylko na blogu!
Prowadzę kanał na YouTube, na którym publikuję rozmowy z osobami prowadzącymi świetnie działające biznesy online oraz krótkie nagrania dotyczące aktualnych zagadnień prawnych. Zajrzyj też na Instagram, gdzie publikuję informacje o aktualnych aktywnościach swoich i zespołu Dimotely.
Co środę wysyłam newsletter – zasubskrybuj wiadomości ode mnie!