Jak przygotować się na NIS 2? Najważniejsze informacje: powody i cel wdrożenia, zakres podmiotów, kary i sankcje.

Spis treści

W skrócie – najważniejsze informacje o NIS 2

Dyrektywa NIS 2 to zaktualizowana wersja pierwszego europejskiego prawa o cyberbezpieczeństwie, regulującego działania państw członkowskich UE oraz kluczowych podmiotów działających na jej obszarze w zakresie ochrony sieci i systemów informacyjnych. 

Dyrektywę NIS 2 wdrożono dla: 

• 1. Zwiększenia ochrony i odporności przed cyberzagrożeniami firm oraz organizacji w UE, a także nas – obywateli 
• 2. Zwiększenia zdolności reagowania na kryzysy związane z cyberbezpieczeństwem oraz odbudowy po nich 

W Polsce Dyrektywa NIS 2 jest wdrażana za pośrednictwem nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).  

Harmonogram wdrażania dyrektywy NIS 2  

1. grudzień 2022 r. – publikacja w Dzienniku Urzędowym UE 
   Według zapowiedzi Ministerstwa Cyfryzacji z kwietnia 2024: 
2. 18 października 2024 r. – do tego czasu Polska powinna dokonać transpozycji do prawa krajowego aktualizacja. Formalna nowelizacja i ogłoszenie obowiązującej ustawy UKSC nastąpi najpóźniej do grudnia 2024.  
3. Krajowe Vacatio Legis – będzie wynosiło jeden miesiąc 
4. Po ogłoszeniu nowelizacji UKSC nastąpi 6-miesięczny okres dostosowawczy do nowych obowiązków dla wszystkich podmiotów kluczowych i ważnych.  
5. Oznacza to, że wejście w życie w Polsce NIS 2 i implementującej ją nowelizacji UKSC, z wszystkimi konsekwencjami (kary, sankcje, obowiązki) odbędzie się najpóźniej lipiec 2025r.

Nowe sektory i podmioty objęte dyrektywą NIS 2  

Dyrektywa NIS 2 znacząco rozszerza zakres obejmowanych nią sektorów i podmiotów. Dotyczy zarówno komercyjnych firm, jak i organizacji typu administracja publiczna czy służba zdrowia. 

Do NIS 2 dostosować się będą musiały podmioty, które: 

1. Operują w sektorach uznanych za istotne dla UE: 

• usługi transgraniczne np. dostawcy usług DNS i rejestrów nazw domen, dostawcy usług chmurowych 
• z sektorów istotnych dla gospodarki i społeczeństwa np.: energetyka, transport, ochrona zdrowia, dostawcy wody pitnej, zarządzanie odpadami 
• z sektorów cyfrowych np. dostawcy usług społecznościowych, usług udostępniania danych czy treści, usług wyszukiwania internetowego i usług pocztowych 

2. Przekraczają określoną wielkość (size cap rule): 50 pracowników i roczny obrót > 10 mln EUR 3. Znajdują się w łańcuchu dostaw organizacji objętej NIS 2 (efekt domina)  

Biorąc pod uwagę te dwa kryteria (wielkość i ważność), podzielono podmioty podlegające pod NIS 2 na kluczowe i ważne. 

1. Status podmiotu kluczowego lub ważnego nabywany będzie z mocy prawa w przypadku spełnienia wyżej wymienionych warunków (sektor, wielkość) 
2. W projektowanej nowelizacji UKSC wprowadzono jako podstawowy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie 
3. Obecni operatorzy usług kluczowych zostaną automatycznie wpisani do wykazu 
4. Szczególny tryb uznania za podmiot kluczowy lub ważny będzie decyzją administracyjną  

Powody i cel wdrożenia NIS 2, korzyści

Temat cyberbezpieczeństwa był zawsze ważny dla Unii Europejskiej. Żeby zwiększyć poziom bezpieczeństwa w krajach UE wprowadzono w 2016 r. dyrektywę NIS.  

Kontrole i audyty funkcjonowania NIS z 2016 r. przyniosły następujące wnioski: 

Po pierwsze: państwa członkowskie wdrażały przepisy unijne w zakresie bezpieczeństwa w różnym zakresie. Nie zawsze były one spójne wzajemnie, a krajowa egzekucja przepisów dotyczących cyberbezpieczeństwa często nie była na zadowalającym poziomie. 

Po drugie: świat otaczający nas jako obywateli, organizacje i firmy od 2016 r. bardzo się zmienił: 

1. w zakresie cyfryzacji naszego życia mamy do czynienia z rewolucją – lawinowy wzrost wykorzystania cyfrowych usług powszechnych np. bankowość, usługi typu e-government, e-commerce 
2. postępująca konwergencja obszarów automatyki przemysłowej, Internetu Rzeczy i Przemysłowego Internetu Rzeczy z rozwiązaniami IT 
3. transformacje do rozwiązań Przemysł 4.0, sieci nowej generacji 5G, czy transformacja do sieci definiowanych programowo itp. 
4. postępujące odmiejscowienie pracy, upowszechnienie pracy zdalnej i hybrydowej, ale też usług transgranicznych w UE 
5. masowe upowszechnienie rozwiązań i usług chmurowych czy Software as a Service 

Po trzecie: zmieniający się świat przyniósł skokowy wzrost ilości cyberzagrożeń, zagrażających nie tylko nam jako obywatelom, firmom, ale i stabilności całych regionów, ciągłości działania usług czy infrastruktury krytycznych z punktu widzenia kraju.   Agresywni cyberprzestępcy działający w celu wzbogacenia czy na zlecenie wrogich państw to od dłuższego czasu przykra rzeczywistość. 

Według badań Cisco* tylko 15% organizacji na całym świecie ma wystarczająco „dojrzałe” cyberbezpieczeństwo, aby chronić się przed zagrożeniami płynącymi ze świata hybrydowego. 

Przygotowanie organizacji do wyżej wymienionych wyzwań ma kluczowe znaczenie, ponieważ 82% respondentów stwierdziło, że spodziewa się incydentu cybernetycznego w ciągu najbliższych 12–24 miesięcy. 

* Cybersecurity Readiness Index Report

Jaki jest cel wdrożenia dyrektywy NIS 2? 

Głównym celem dyrektywy NIS 2 jest określenie minimalnych przepisów, jakie państwa członkowskie powinny wdrożyć, by w rzeczywistości i SKUTECZNIE ograniczyć ryzyko incydentów dotyczących cyberbezpieczeństwa i zwiększyć bezpieczeństwo obywateli oraz firm i organizacji. 

Innymi słowy, zyskamy my jako obywatele, ponieważ będzie po prostu bezpieczniej. Korzyści odczują też firmy, które oferują usługi transgraniczne i muszą mierzyć się z różnicami między państwami w zakresie cyberbezpieczeństwa. 

Jakie korzyści przyniesie skuteczne wdrożenie dyrektywy NIS 2? 

Konkretne korzyści ze stosowania dyrektywy NIS 2 to m.in.: 

1. zwiększenie ochrony i odporności na cyberzagrożenia 
2. zwiększenie zdolności, umiejętności do reagowania na incydenty i kryzysy cyberbezpieczeństwa oraz odbudowy po nich — bardzo ważne, ponieważ trzeba mieć świadomość, że poważne incydenty i kryzysy cyber będą miały miejsce, a kluczem jest umiejętność szybkiego, skutecznego zareagowania oraz minimalizacja ich skutków 
3. zwiększenie bezpieczeństwa i ochrony danych osobowych w cyberprzestrzeni 
4. wzrost zaufania do cyfrowego rynku UE i konkurencyjności europejskich podmiotów cyfrowych na arenie globalnej 

Kogo obejmie dyrektywa NIS 2? 

Dyrektywa NIS 2 rozszerza zakres na znacznie więcej sektorów i podmiotów. Co ważne, NIS 2 dotyczy zarówno komercyjnych firm, jak i organizacji typu administracja publiczna czy służba zdrowia. 

Odpowiadając krótko na pytanie, dostosować się do NIS 2 będą musiały: 

• organizacje operujące w określonych sektorach uznanych za istotne dla UE oraz 
• organizacje o odpowiedniej wielkości (size cap rule) 

Jakie sektory zostały uznane jako istotne z punktu widzenia UE i Państwa?  

1. świadczące usługi transgraniczne np. dostawcy usług DNS, podmioty świadczące usługi rejestracji nazw domen, dostawcy usług chmurowych, przetwarzania na brzegu sieci i usługi centrów danych 
2. z sektorów istotnych dla gospodarki i społeczeństwa np.: energetyka, transport, infrastruktura rynku finansowego, ochrona zdrowia, dostarczanie wody pitnej, zarządzanie odpadami, produkcja chemiczna i jądrowa 
3. z sektorów cyfrowych np. dostawcy usług społecznościowych, usług udostępniania danych czy treści, usług wyszukiwania internetowego i usług pocztowych 

Sektor finansowy, czyli m.in. bankowość i ubezpieczenia nie podlega pod NIS 2, ale tylko dlatego, że sektor finansowy pokrywa siostrzana regulacja DORA jako „lex specialis”.  

Jakie sektory zostały uznane jako istotne z punktu widzenia UE i poszczególnych państw?  

Wielkość organizacji objętych NIS 2 jest precyzyjnie określona. W zakres wchodzą wszystkie organizacje, które przekroczą pułap dla średnich przedsiębiorstw (size cap rule). 

> 50 pracowników i roczny obrót > 10 mln EUR 

NIS 2 co do zasady nie dotyczy małych organizacji, czyli tych poniżej 50 pracowników i 10 mln euro rocznego przychodu. 

UWAGA NA WYJĄTKI! 

Nawet małe lub mikroprzedsiębiorstwa muszą spełniać obowiązki wynikające z NIS 2, jeśli mają kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów. Mogą to być np.: 

• dostawcy usług zaufania 
• podmiot będący jedynym dostawcą usługi w kraju 
• podmiot, w przypadku którego potencjalne zakłócenie świadczenia usługi mogłoby mieć wpływ na bezpieczeństwo lub zdrowie publiczne 

UWAGA NA ŁAŃCUCH DOSTAW! 

W NIS 2 uwzględniono bezpieczeństwo łańcucha dostaw. 

• Firmy i organizacje będą musiały wskazać wszystkie podmioty zaangażowane w dostarczanie produktów lub usług związanych z cyberprzestrzenią, takich jak producenci, dostawcy, dystrybutorzy, integratorzy itp. 
• Dla wszystkich swoich bezpośrednich dostawców firmy i organizację muszą przeprowadzać Risk Assessment i monitorować bezpieczeństwo współpracy z nimi 

To wywoła efekt „domina” – firma nieobjęta NIS 2, a będąca dostawcą firmy objętej NIS 2 będzie najprawdopodobniej zmuszona dostosować się do regulacji. 

Dlaczego to jest ważne? 
Nawet najmniejszy dostawca usług może stanowić drogę wejścia do organizacji docelowej. Przykładem może być atak ransomware na amerykańską sieć supermarketów Target z 2013 roku. Atakujący wykorzystali phishing, aby wykraść poświadczenia z firmy dostarczającej usługi ogrzewania i klimatyzacji w sklepach. Dzięki temu atakujący dostali się do systemów Target i wykradli dane klientów. Cyberprzestępcom udało się ukraść dane 40 milionów kart kredytowych i debetowych oraz 70 milionów klientów. Całkowity koszt ataku dla Target szacowany jest na ponad 250 milionów dolarów, z czego 18,5 miliona wynosiły odszkodowania dla klientów, których dane wyciekły. 

Podmioty kluczowe i ważne  

Biorąc pod uwagę dwa kryteria, czyli wielkość i ważność podzielono podmioty podlegające pod NIS 2 na kluczowe i ważne. 

Uzupełnienie informacji po komunikacie Ministersywa Cyfryzacji w kwietniu 2024 r.: 

1. Status podmiotu kluczowego lub ważnego nabywany będzie z mocy prawa w przypadku spełnienia wyżej wymienionych warunków (sektor, wielkość) 
2. W projektowanej nowelizacji UKSC wprowadzono jako podstawowy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie 
3. Obecni operatorzy usług kluczowych zostaną automatycznie wpisani do wykazu 
4. Szczególny tryb uznania za podmiot kluczowy lub ważny będzie decyzją administracyjną 

NIS 2 – kary i sankcje

W NIS 2 wymienione są trzy rodzaje kar: są to kary finansowe, sankcje dotyczące działalności samej organizacji oraz odpowiedzialności top managementu. 

NIS 2 – kary finansowe  

Jeśli chodzi o kary finansowe to dla podmiotów kluczowych wynoszą one: 

• Co najmniej 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. 

Natomiast dla podmiotów ważnych kary wynoszą: 

• Co najmniej 7 000 000 EUR lub 1,4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. 

NIS 2 – zawieszenie certyfikacji i zezwoleń na usługi lub działania  

Drugą z sankcji określoną w NIS 2 jest możliwość zawieszenia certyfikacji czy zezwoleń na usługi lub działania świadczone przez organizację. Czyli możemy sobie wyobrazić, że w przypadku znaczącego naruszenia możemy jako firma otrzymać czasowy zakaz świadczenia swoich usług czy działalności. 

NIS 2 – odpowiedzialność osób zarządzających  

Trzecia sankcja dotyczy odpowiedzialności zarządów i top managementu, czyli: 

• Złożenia publicznego oświadczenia określającego osobę fizyczną i prawną odpowiedzialną za naruszenie oraz charakter tego naruszenia 
• Czasowy zakaz pełnienia funkcji kierowniczych w podmiocie na poziomie dyrektora generalnego, przedstawiciela prawnego oraz każdej innej osoby uznanej za odpowiedzialną za naruszenie 

UWAGA: w ogłoszonym projekcie nowelizacji UKSC niezależnie od wyżej wymienionych kar finansowych nałożonych na podmiot karę można nałożyć na kierownika podmiotu kluczowego lub ważnego za niedokonanie obowiązków wskazanych w UKSC. Kara ta może być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. 
 
Dyrektywa nie tylko “straszy” organy zarządzające sankcjami. Wymaga również wzięcia odpowiedzialności za cyberbezpieczeństwo organizacji oraz odbycia szkoleń z tego zakresu. 

W dyrektywie NIS 2 jest m.in. zdanie mówiące o tym, że Zarząd odpowiada za: 

„Wprowadzenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych dla zapobiegania lub minimalizowania wpływu incydentów cybernetycznych” 

Doprecyzowując, oznacza to, że organy zarządzające są zobligowane do: 

• oceny ryzyk cybernetycznych i ich wpływu na działalność podmiotu 
• zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa 
• nadzorowanie ich wdrażania 

W NIS 2 jest jednocześnie przewidziany obowiązek regularnego odbywania szkoleń przez ograny zarządzające dla zdobycia wiedzy i umiejętności, umożliwiające im: 

• identyfikację zagrożeń i ocenę ryzyk cybernetycznych 
• ocenę praktyk zarządzania ryzykiem cyberbezpieczeństwa 
• Ich wpływu na działalność podmiotu 

Dowiedz się więcej o Dyrektywie NIS 2 – pobierz pakiet materiałów edukacyjnych przygotowany przez eksperta rynku ICT i cyberbezpieczeństwa Tomasza Matułę.  
 
Pakiet materiałów zawiera:  

1. Video przewodnik po NIS 2 z ekspertem Tomaszem Matułą, który krok po kroku przeprowadzi Cię przez zmiany i wymogi nakładane przez NIS 2. 
2. Ebook Jak przygotować się na NIS 2? autorstwa Tomasza Matuły, zawierający informacje niezbędne do skutecznego wdrożenia obowiązków nakładanych przez dyrektywę oraz praktyczne wskazówki. 
3. Checklistę do samodzielnego audytu cyberbezpieczeństwa w Twojej organizacji. 

O AUTORZE

Tomasz Matuła
ekspert i menedżer rynku ICT oraz cyberbezpieczeństwa z ponad 26-letnią praktyką w biznesie. Dyrektor programowy społeczności CIONET Security Excellence. Digital Leader of the Year Polska (2016), finalista European CIO of the Year (2017).