NIS2: Nowa era cyberbezpieczeństwa w Unii Europejskiej

26 lipca 2024 | Aktualności, The Right Focus, Wiedza

NIS2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, to odpowiedź na coraz poważniejsze zagrożenia cyfrowe. Wzmacnia ochronę kluczowych sektorów gospodarki przed cyberprzestępczością, obejmując wszystkie państwa członkowskie.

Najważniejsze zmiany obejmują:

Rozszerzenie zakresu podmiotów objętych dyrektywą
Określenie minimalnych wymagań dotyczących zabezpieczeń
Zaostrzenie wymogów oraz sankcji związanych z incydentami
Nałożenie obowiązków dotyczących bezpieczeństwa łańcucha dostaw

Państwa członkowskie muszą dostosować krajowe przepisy do NIS2 do 17 października 2024 roku. Przepisy wejdą w życie dzień później, 18 października. Ministerstwo Cyfryzacji planuje przyjęcie stosownej ustawy w trzecim kwartale 2024 roku.

Jak przygotować się na obowiązki wynikające z NIS2

NIS2 niesie ze sobą szereg obowiązków dotyczących zapewnienia cyberbezpieczeństwa, zarządzania ryzykiem i zgłaszania incydentów.

W pierwszej kolejności należy jednak, we własnym zakresie, przeprowadzić ocenę, czy w oparciu o wskazane kryteria dany podmiot podlega obowiązkom wynikającym z NIS2.

Przepisy NIS2 obejmą średnie lub duże przedsiębiorstwa (zatrudniające co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro) zaliczające się do:

Sektorów kluczowych: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczna
Sektorów ważnych: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i wytwarzanie oraz dystrybucja chemikaliów, produkcja i przetwarzanie oraz dystrybucja żywności, produkcja, dostawcy usług cyfrowych, badania naukowe

Dodatkowo regulacje NIS2 mogą objąć małe przedsiębiorstwa i mikroprzedsiębiorstwa, jeżeli pełnią one kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.

NIS2 obowiązki, procedury i standardy

W przypadku spełnienia powyższych kryteriów konieczne będzie spełnienie określonych wymagań. Zarządzania ryzykiem: Podmioty muszą wdrażać odpowiednie środki techniczne i organizacyjne, aby chronić swoje sieci i systemy przed cyberzagrożeniami

Zgłaszania incydentów: Istnieje obowiązek szybkiego raportowania poważnych incydentów do właściwych organów oraz informowania klientów o potencjalnych zagrożeniach
Analizy zagrożeń: Regularne oceny ryzyka są konieczne, aby identyfikować i reagować na nowe zagrożenia
Współpracy z organami: Podmioty muszą aktywnie uczestniczyć w wymianie informacji o zagrożeniach
Szkoleń: Pracownicy i kadra zarządzająca powinni regularnie uczestniczyć w szkoleniach zwiększających świadomość w zakresie cyberbezpieczeństwa

Co istotne, NIS2 przewiduje również obowiązki po stronie Zarządu. Organy zarządzające podmiotów kluczowych i ważnych powinny bowiem zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie oraz nadzorować ich stosowanie.

Ich członkowie zostaną natomiast objęci obowiązkiem odbywania regularnych szkoleń w celu zdobycia wiedzy i umiejętności pozwalających im rozpoznawać ryzyko, oceniać praktyki zarządzania cyberzagrożeniami oraz ich wpływu na świadczone usługi. Będą także musieli oferować podobne szkolenia swoim pracownikom.

Uprawnienia organów nadzoru i sankcje

NIS2 przyznaje szereg uprawnień organom nadzoru w celu kontrolowania i egzekwowania nowych regulacji.

To m.in. audyty, obowiązek udzielenia niezbędnych informacji, zalecenie lub nakazanie zapewnienia zgodności z treścią dyrektywy, zaniechania określonego działania czy wydanie nakazu wprowadzenia zaleceń z przeprowadzonego audytu. W przypadku podmiotów kluczowych, gdy ww. środki będą nieskuteczne – tymczasowe zawieszenie certyfikacji, zezwolenia na usługi lub działalność oraz nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w danym podmiocie.

Zaostrzeniu ulegną również kary finansowe za brak realizacji nałożonych obowiązków.

W przypadku podmiotów kluczowych, do 10 mln EUR lub 2 proc. łącznego rocznego obrotu
W przypadku podmiotów ważnych do 7 mln EUR lub 1,4 proc. łącznego rocznego obrotu

Dyrektywa NIS2 istotnie zmienia podejście do cyberbezpieczeństwa w Unii Europejskiej.

Można zaryzykować stwierdzenie, że znacząco zmieni poziom świadomości w tym kontekście w wielu sektorach. Dla części podmiotów przebrnięcie przez jej wymagania może okazać się nie lada wyzwaniem. Dlatego już dzisiaj zapraszamy do kontaktu – chętnie pomożemy przejść ten proces.

Masz pytania? Skontaktuj się z nami

Maciej Kuranc

Mikołaj Kuterek

Najnowsza Wiedza

Jak mądrze zaplanować strukturę fundacji rodzinnej

Jedną z kluczowych zalet fundacji rodzinnej jest duża elastyczność w kształtowaniu jej wewnętrznej struktury. Ustawodawca pozostawił fundatorowi szeroką swobodę w tym zakresie, co umożliwia dostosowanie organizacji fundacji do indywidualnych potrzeb – majątkowych, rodzinnych i biznesowych.

Nowe zasady zatrudniania cudzoziemców

1 czerwca 2025r. weszła w życie dawno zapowiadana Ustawa o warunkach dopuszczalności powierzenia pracy cudzoziemcom na terytorium Rzeczypospolitej Polskiej, która zastępuje przepisy o promocji zatrudnienia i instytucjach rynku pracy.

Dostawcy IT spoza EOG – rosnące wyzwania w obliczu zmian geopolitycznych

W świetle narastających napięć geopolitycznych, podmioty stanowiące elementy infrastruktury krytycznej będą niewątpliwie koncentrowały się na ograniczaniu ryzyk związanych z wykorzystaniem usług IT od dostawców spoza EOG.

Przegląd sektora bankowego | Banking dziś i jutro | Czerwiec 2025

Turbulencje geopolityczne będą miały istotne znaczenie dla gospodarki, w tym polskiego rynku finansowego, który na te globalne wyzwania jest jednak dobrze przygotowany. Rynek finansowy jest stabilny, banki dobrze skapitalizowane, a rynek kapitałowy ma wysoki potencjał rozwojowy.

Projekt UDER2 – (w teorii) mocniejsza zasada in dubio pro tributario

Zasada mówiąca, by wątpliwości rozstrzygać na korzyść podatnika, określona w art. 2a Ordynacji podatkowej, obowiązuje dziś wyłącznie w przypadkach niejasnych przepisów.

Polski System Kaucyjny: przewodnik po prawnych i podatkowych regulacjach

1 października startuje Polski System Kaucyjny. To prawdziwa rewolucja dla przedsiębiorców – zarówno producentów, importerów, jak i dystrybutorów czy jednostek handlu. Jej wdrożenie niesie bowiem ze sobą szereg wyzwań, w tym, co nieoczywiste, również w obszarze podatku VAT. Oto krótki przewodnik po najważniejszych kwestiach związanych z Polskim Systemem Kaucyjnym.

Ustawa o zmianie ustawy – Kodeks pracy, czyli polska odpowiedź na Dyrektywę w sprawie równości wynagrodzeń

9 maja 2025 r. Sejm przyjął nowy projekt zmian w Kodeksie Pracy, autorstwa Komisji Nadzwyczajnej do spraw zmian w kodyfikacjach, który znacząco różni się od pierwotnego projektu poselskiego wdrażającego unijną Dyrektywę w sprawie równości wynagrodzeń.

Pharma Review – nowelizacja na rozwiązanie problemu niedoboru leków w Unii Europejskiej

Sprawdzamy, na jakie zmiany powinna przygotować się branża farmaceutyczna.

Jak fundacja rodzinna może chronić się przed „czarnymi owcami”

W każdej rodzinie mogą zdarzyć się takie osoby. Konfliktowe, napastliwe i niechętne do współpracy, w dodatku przekonane, że to one zawsze mają rację, a świat jest wiecznie przeciwko. Wprowadzają chaos i zamieszanie, są źródłem nieustannych konfliktów lub po prostu nie pasują do ogólnej harmonii. Czasem nazywamy je „czarnymi owcami” – bo wywołują trudne sytuacje, psują relacje lub nie spełniają oczekiwań.

Kluczowe zmiany w zakresie raportowania schematów podatkowych (MDR)

Mocno zmieniające się realia prawno-podatkowe oraz rosnące oczekiwania w zakresie przejrzystości fiskalnej skłoniły ustawodawcę do wprowadzenia istotnych zmian w systemie raportowania schematów podatkowych. Zgodnie z ministerialnymi zapowiedziami, zasadniczym celem nowelizacji miało być uproszczenie dotychczasowych procedur.