Unijna dyrektywa NIS2 (Network and Information Security Directive 2) to jedna z najważniejszych regulacji prawnych w obszarze technologii informacyjnych ostatnich lat. W przeciwieństwie do swojej poprzedniczki, NIS2 znacznie rozszerza katalog podmiotów objętych rygorem, włączając do niego wiele średnich, a w niektórych przypadkach również małych przedsiębiorstw. Celem nowych przepisów jest podniesienie ogólnego poziomu odporności cyfrowej w całej Unii Europejskiej, co jest kluczowe w dobie narastającej liczby ataków na łańcuchy dostaw.
Kto podlega pod NIS2? Kryteria dla sektora MŚP
Największą zmianą wprowadzoną przez nowe przepisy jest odejście od uznaniowości państw członkowskich przy wyznaczaniu operatorów usług kluczowych. Obecnie o objęciu dyrektywą decyduje przede wszystkim wielkość przedsiębiorstwa oraz sektor, w którym ono działa.
Zasadniczo dyrektywa dotyczy podmiotów średniej wielkości, czyli takich, które zatrudniają co najmniej 50 pracowników lub osiągają roczny obrót przekraczający 10 milionów euro. Należy jednak pamiętać, że w sektorach o znaczeniu krytycznym, takich jak dostawcy usług DNS, rejestry nazw domen czy dostawcy usług zaufania, pod rygor mogą trafić nawet mniejsze firmy. Sektory objęte regulacją to między innymi energetyka, transport, bankowość, ochrona zdrowia, ale także produkcja żywności, gospodarowanie odpadami oraz usługi cyfrowe.
Lista kluczowych obowiązków dla przedsiębiorców
Wdrożenie NIS2 nie sprowadza się jedynie do zakupu nowych rozwiązań technicznych. To przede wszystkim proces zmiany zarządzania bezpieczeństwem w całej organizacji. Do najważniejszych wymagań należą:
Zarządzanie ryzykiem i polityki bezpieczeństwa Każda firma objęta dyrektywą musi opracować i wdrożyć politykę analizy ryzyka oraz bezpieczeństwa systemów informatycznych. Oznacza to konieczność identyfikacji najsłabszych ogniw w infrastrukturze i określenie procedur zapobiegawczych.
Bezpieczeństwo łańcucha dostaw Podmioty muszą weryfikować poziom zabezpieczeń swoich dostawców i partnerów biznesowych. W praktyce oznacza to, że średnia firma będzie musiała wymagać określonych certyfikatów lub audytów od mniejszych podmiotów, z którymi współpracuje, co przenosi standardy bezpieczeństwa na cały rynek.
Obsługa incydentów i ciągłość działania Dyrektywa nakłada obowiązek posiadania procedur reagowania na naruszenia bezpieczeństwa oraz planów zachowania ciągłości działania (Business Continuity Planning). W przypadku awarii lub ataku firma musi wiedzieć, jak szybko przywrócić krytyczne funkcje biznesowe.
Raportowanie incydentów Jednym z najbardziej rygorystycznych wymogów jest obowiązek zgłaszania poważnych incydentów do właściwych organów (np. CSIRT krajowy). Pierwsze zgłoszenie, tzw. wczesne ostrzeżenie, musi nastąpić w ciągu 24 godzin od wykrycia problemu, a pełny raport w ciągu 72 godzin.
Terminy – kiedy należy być gotowym?
Proces wdrażania NIS2 jest wieloetapowy. Państwa członkowskie miały czas na implementację dyrektywy do krajowych systemów prawnych do 17 października 2024 roku. Od tego momentu firmy muszą dostosowywać swoją infrastrukturę do nowych wymogów krajowych (w Polsce jest to nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa). Rok 2026 jest okresem, w którym kontrole organów nadzorczych stają się standardem, a brak wdrożonych procedur zaczyna wiązać się z realnym ryzykiem prawnym.
Kary za brak zgodności z NIS2
System sankcji w dyrektywie NIS2 został zaprojektowany na wzór RODO, co oznacza, że kary finansowe mogą być dotkliwe i mają charakter odstraszający.
Dla podmiotów kluczowych kary mogą wynosić do 10 milionów euro lub do 2% łącznego rocznego światowego obrotu przedsiębiorstwa. W przypadku podmiotów ważnych (gdzie często kwalifikują się średnie firmy) sankcje sięgają 7 milionów euro lub 1,4% rocznego obrotu. Co istotne, organy nadzorcze mają prawo do nakładania okresowych kar pieniężnych, aby zmusić organizację do zaprzestania naruszeń lub dostosowania się do zaleceń poaudytowych.
Warto również podkreślić aspekt odpowiedzialności osobistej kadry zarządzającej. W przypadku rażących zaniedbań, osoby na stanowiskach kierowniczych mogą zostać czasowo zawieszone w pełnieniu funkcji, co ma na celu wymuszenie na zarządach aktywnego udziału w nadzorowaniu procesów cyberbezpieczeństwa.
Pierwsze kroki w przygotowaniu firmy MŚP
Przygotowanie do zgodności z NIS2 warto zacząć od audytu zerowego, który wykaże luki w obecnych procedurach. Należy skupić się na:
- Przeglądzie posiadanych licencji i systemów pod kątem aktualnego wsparcia producentów.
- Wprowadzeniu dwuskładnikowego uwierzytelniania (MFA) wszędzie tam, gdzie jest to możliwe.
- Przeszkoleniu pracowników z zakresu higieny cyfrowej, gdyż czynnik ludzki pozostaje najczęstszą przyczyną incydentów.
- Opracowaniu jasnej ścieżki raportowania błędów wewnątrz firmy.
Wdrożenie tych zasad nie tylko zapewni zgodność z prawem, ale przede wszystkim realnie zmniejszy ryzyko przestojów spowodowanych atakami typu ransomware, które dla sektora MŚP mogą być katastrofalne w skutkach.
F.A.Q. – Najczęściej zadawane pytania
Czy mała firma zatrudniająca 10 osób może podlegać pod NIS2?
Tak, jeśli jest ona jedynym dostawcą usługi o krytycznym znaczeniu dla państwa lub sektora (np. w obszarze infrastruktury internetowej lub administracji publicznej), bądź jeśli jej działalność ma wpływ na bezpieczeństwo publiczne. W większości przypadków jednak małe firmy (poniżej 50 pracowników) są wyłączone, chyba że pełnią funkcje specyficzne wymienione w dyrektywie.
Czy certyfikat ISO 27001 wystarczy, aby być zgodnym z NIS2?
Posiadanie certyfikatu ISO 27001 jest doskonałym fundamentem i pokrywa znaczną część wymagań NIS2 dotyczących zarządzania ryzykiem. Nie jest jednak tożsame z pełną zgodnością, ponieważ dyrektywa nakłada specyficzne obowiązki dotyczące raportowania incydentów do organów państwowych oraz weryfikacji łańcucha dostaw, które mogą wykraczać poza standardowe ramy ISO.
Jakie są terminy zgłaszania incydentów zgodnie z nowymi przepisami?
Procedura jest trzystopniowa: w ciągu 24 godzin od wykrycia należy wysłać „wczesne ostrzeżenie”, w ciągu 72 godzin należy złożyć pełne zgłoszenie incydentu z oceną jego skutków, a po miesiącu należy przedstawić raport końcowy z opisem podjętych działań naprawczych.
