Zaznacz stronę

NIS2: Nowa era cyberbezpieczeństwa w Unii Europejskiej

26 lipca 2024 | Aktualności, The Right Focus, Wiedza

NIS2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, to odpowiedź na coraz poważniejsze zagrożenia cyfrowe. Wzmacnia ochronę kluczowych sektorów gospodarki przed cyberprzestępczością, obejmując wszystkie państwa członkowskie.

Najważniejsze zmiany obejmują:

  • Rozszerzenie zakresu podmiotów objętych dyrektywą
  • Określenie minimalnych wymagań dotyczących zabezpieczeń
  • Zaostrzenie wymogów oraz sankcji związanych z incydentami
  • Nałożenie obowiązków dotyczących bezpieczeństwa łańcucha dostaw

Państwa członkowskie muszą dostosować krajowe przepisy do NIS2 do 17 października 2024 roku. Przepisy wejdą w życie dzień później, 18 października. Ministerstwo Cyfryzacji planuje przyjęcie stosownej ustawy w trzecim kwartale 2024 roku.

Jak przygotować się na obowiązki wynikające z NIS2

NIS2 niesie ze sobą szereg obowiązków dotyczących zapewnienia cyberbezpieczeństwa, zarządzania ryzykiem i zgłaszania incydentów.

W pierwszej kolejności należy jednak, we własnym zakresie, przeprowadzić ocenę, czy w oparciu o wskazane kryteria dany podmiot podlega obowiązkom wynikającym z NIS2.

Przepisy NIS2 obejmą średnie lub duże przedsiębiorstwa (zatrudniające co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro) zaliczające się do:

  • Sektorów kluczowych: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczna
  • Sektorów ważnych: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i wytwarzanie oraz dystrybucja chemikaliów, produkcja i przetwarzanie oraz dystrybucja żywności, produkcja, dostawcy usług cyfrowych, badania naukowe

Dodatkowo regulacje NIS2 mogą objąć małe przedsiębiorstwa i mikroprzedsiębiorstwa, jeżeli pełnią one kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.

NIS2 obowiązki, procedury i standardy

W przypadku spełnienia powyższych kryteriów konieczne będzie spełnienie określonych wymagań. Zarządzania ryzykiem: Podmioty muszą wdrażać odpowiednie środki techniczne i organizacyjne, aby chronić swoje sieci i systemy przed cyberzagrożeniami

  • Zgłaszania incydentów: Istnieje obowiązek szybkiego raportowania poważnych incydentów do właściwych organów oraz informowania klientów o potencjalnych zagrożeniach
  • Analizy zagrożeń: Regularne oceny ryzyka są konieczne, aby identyfikować i reagować na nowe zagrożenia
  • Współpracy z organami: Podmioty muszą aktywnie uczestniczyć w wymianie informacji o zagrożeniach
  • Szkoleń: Pracownicy i kadra zarządzająca powinni regularnie uczestniczyć w szkoleniach zwiększających świadomość w zakresie cyberbezpieczeństwa

Co istotne, NIS2 przewiduje również obowiązki po stronie Zarządu. Organy zarządzające podmiotów kluczowych i ważnych powinny bowiem zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie oraz nadzorować ich stosowanie.

Ich członkowie zostaną natomiast objęci obowiązkiem odbywania regularnych szkoleń w celu zdobycia wiedzy i umiejętności pozwalających im rozpoznawać ryzyko, oceniać praktyki zarządzania cyberzagrożeniami oraz ich wpływu na świadczone usługi. Będą także musieli oferować podobne szkolenia swoim pracownikom.

Uprawnienia organów nadzoru i sankcje

NIS2 przyznaje szereg uprawnień organom nadzoru w celu kontrolowania i egzekwowania nowych regulacji.

To m.in. audyty, obowiązek udzielenia niezbędnych informacji, zalecenie lub nakazanie zapewnienia zgodności z treścią dyrektywy, zaniechania określonego działania czy wydanie nakazu wprowadzenia zaleceń z przeprowadzonego audytu. W przypadku podmiotów kluczowych, gdy ww. środki będą nieskuteczne – tymczasowe zawieszenie certyfikacji, zezwolenia na usługi lub działalność oraz nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w danym podmiocie.

Zaostrzeniu ulegną również kary finansowe za brak realizacji nałożonych obowiązków.

  • W przypadku podmiotów kluczowych, do 10 mln EUR lub 2 proc. łącznego rocznego obrotu
  • W przypadku podmiotów ważnych do 7 mln EUR lub 1,4 proc. łącznego rocznego obrotu

Dyrektywa NIS2 istotnie zmienia podejście do cyberbezpieczeństwa w Unii Europejskiej.

Można zaryzykować stwierdzenie, że znacząco zmieni poziom świadomości w tym kontekście w wielu sektorach. Dla części podmiotów przebrnięcie przez jej wymagania może okazać się nie lada wyzwaniem. Dlatego już dzisiaj zapraszamy do kontaktu – chętnie pomożemy przejść ten proces.

Masz pytania? Skontaktuj się z nami

Maciej Kuranc

Mikołaj Kuterek

Najnowsza Wiedza

Eco Focus #4

Milena Kazanowska-Kędzierska i Aleksandra Pinkas przyglądają się przygotowaniom polskich firm do wdrożenia unijnego rozporządzenia EUDR, którego celem jest przeciwdziałanie postępującej degradacji lasów.

Opłata od „małpek” – fala kontroli, korzystny wyrok i problemy przedsiębiorców

Niebawem będziemy obchodzić czwartą rocznicę wprowadzenia tej opłaty, co jest dobrą okazją do podsumowania jej skutków oraz wątpliwości związanych z jej stosowaniem. Dzisiaj widzimy bowiem, że wpływy z tego tytułu w żaden sposób nie korelują z wciąż spadającym wolumenem sprzedaży. A to wskazuje na istnienie systemowego problemu.

Wzrost minimalnego wynagrodzenia za pracę

12 września 2024 r., po negocjacjach w ramach Rady Dialogu Społecznego, Rada Ministrów, przyjęła Rozporządzenie w sprawie minimalnego wynagrodzenia za pracę i minimalnej wysokości stawki godzinowej w 2025 r.

Eco Focus #3

Milena Kazanowska-Kędzierska rozwiewa wątpliwości dotyczące unijnego rozporządzenia w zakresie wylesiania.

Sankcja kredytu darmowego

W polskich sądach jest już około 10 tysięcy pozwów kredytobiorców zarzucających bankom naruszenie przepisów Ustawy o kredycie konsumenckim. Pozwy te mogą stanowić podstawę do skorzystania z sankcji kredytu darmowego.

Zapraszamy do kontaktu:

Natalia Kotłowska-Wochna

Natalia Kotłowska-Wochna

Radca prawny / szefowa Praktyki New Tech M&A i biura w Poznaniu

+48 606 689 185

n.kotlowska@kochanski.pl

Maciej Kuranc

Maciej Kuranc

Radca prawny / Starszy Prawnik / Praktyka NewTech / Ochrona Danych Osobowych i Cyberbezpieczeństwo

+48 22 326 9600

m.kuranc@kochanski.pl