Prawdopodobnie już na początku 2026 roku wiele polskich przedsiębiorstw i instytucji zostanie objęte nowymi obowiązkami w zakresie cyberbezpieczeństwa. Jest to wynik implementacji unijnych przepisów, a konkretnie dyrektywy NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555), która nakłada na państwa członkowskie UE konieczność wdrożenia wspólnego poziomu zabezpieczeń z zakresu cyberbezpieczeństwa. Wbrew pozorom nowe prawo nie będzie dotyczyć tylko dostawców usług cyfrowych, ale znacznie szerszego grona podmiotów. Sprawdź, czy Twoje przedsiębiorstwo zalicza się do tego grona. Dowiedz się, jakie obowiązki wprowadza nowe prawo i co może grozić za brak jego przestrzegania.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa przyjęta przez rząd

Dyrektywa NIS2 przyjęta przez Parlament Europejski w 2022 roku jest odpowiedzią na rosnące zagrożenie cyfrowe dla systemów informatycznych. Nowe prawo stanowi kontynuację wcześniejszych rozwiązań w postaci dyrektywy NIS (Network and Information Systems Directive), czego konsekwencją jest między innymi znaczne rozszerzenie listy podmiotów objętych tym rozwiązaniem w celu poprawy bezpieczeństwa publicznego i bezpieczeństwa kluczowych sektorów gospodarki.

NIS2 obowiązuje na terenie Unii Europejskiej już od października 2024 roku, jednak w Polsce wciąż nie zostało w pełni zaimplementowane do prawa krajowego. Ta sytuacja wkrótce ulegnie zmianie, ponieważ w listopadzie rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który trafił już do sejmu. Ministerstwo Cyfryzacji zakłada jego uchwalenie do końca 2025 roku oraz wdrożenie na początku roku kolejnego. Przedsiębiorstwa i podmioty publiczne objęte NIS2 mają niewiele czasu, aby przygotować się na nowe przepisy.

Podmioty kluczowe i ważne – kogo obejmą nowe przepisy?

Dyrektywa NIS2 obejmie podmioty działające w sektorach krytycznych dla unijnej gospodarki. Dokument dzieli je na podmioty kluczowe (essential entities) oraz podmioty ważne (important entities) objęte nieco mniejszym rygorem. Dodatkowo państwo członkowskie może podnieść status danego podmiotu, nawet jeśli nie należy on do żadnej z tych grup.

Wśród podmiotów kluczowych znaleźli się reprezentanci 11 sektorów, do których należą:

•     energetyka,
•     bankowość,
•     transport,
•     infrastruktura rynków finansowych,
•     woda pitna,
•     ochrona zdrowia,
•     ścieki,
•     infrastruktura cyfrowa,
•     usługi TIC,
•     administracja publiczna,
•     branża kosmiczna.

Za podmioty ważne uznano przedstawicieli siedmiu kolejnych sektorów, do których zaliczają się:

•     usługi pocztowe i kurierskie,
•     produkty chemiczne,
•     żywność,
•     gospodarka odpadami,
•     przemysł przetwórczy,
•     usługi cyfrowe,
•     badania.

Ponadto świadczenie usług i dostawy towarów dla podmiotów kluczowych w celu zabezpieczenia zasobów ludzkich i utrzymania sieci systemów informatycznych także nakłada na podmiot obowiązek stosowania przepisów dyrektywy NIS2. Dotyczy to też świadczenia usług na rzecz podmiotów administracji publicznej.

Dyrektywa NIS2 – obowiązki przedsiębiorstw, operatorów usług kluczowych i ważnych

Podmioty kluczowe i ważne już wkrótce uzyskają nowe obowiązki z zakresu bezpieczeństwa cyfrowego, co będzie efektem zapewnienia zgodności polskiego prawa z unijną dyrektywą. Oto kluczowe zmiany i obszary zmian.

Zarządzanie ryzykiem bezpieczeństwa sieci i systemów informatycznych

Jednym z głównych obowiązków wynikających z NIS2 jest wdrożenie środków zarządzania ryzykiem związanym z cyberbezpieczeństwem, w tym środków technicznych, organizacyjnych i operacyjnych. W zakresie zarządzania ryzykiem konieczne będzie zapewnienie ciągłości działania w przypadku poważnych incydentów poprzez tworzenie kopii zapasowych i szybkiego przywracania systemu po awariach. Inne obowiązki to zarządzanie podatnościami na ryzyko, kryptografią i szyfrowaniem, a także bezpieczeństwo łańcucha dostaw. Podmioty będą musiały także prowadzić ważne podstawowe praktyki na temat cyberbezpieczeństwa, w tym szkolenia, kontrolę dostępu i zaawansowane metody uwierzytelniania.

Obowiązek zgłaszania incydentów

Kolejny obowiązek dotyczy raportowania i odpowiedniej obsługi incydentu związanego z cyberbezpieczeństwem. Zgłoszenie incydentu odbywa się do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV lub innego właściwego organu.

W ciągu 24 godzin od wykrycia konieczne będzie zgłoszenie wczesnego ostrzeżenia, następnie w ciągu 72 godzin powinno nastąpić zgłoszenie wstępne. Na złożenie sprawozdania końcowego podmiot ma jeden miesiąc. Jeśli w tym czasie incydent nie dobiegnie końca, w terminie składania sprawozdania końcowego należy złożyć raport z postępu prac. Oprócz tego istnieje obowiązek informowania odbiorców usług o zagrożeniach i środkach ochronnych.

Regularne audyty bezpieczeństwa i nadzór

Podmioty kluczowe będą zobowiązane do wykonywania regularnych audytów bezpieczeństwa weryfikujących między innymi wskaźniki integralności systemu, stosowanie uwierzytelniania wieloskładnikowego i wdrażanie środków ograniczających ryzyko związane z cyberbezpieczeństwem. Audyt mogą prowadzić odpowiednie organy lub niezależne instytucje. Podmioty ważne będą zobowiązane do podjęcia tych działań po wystąpieniu incydentów poważnych w ramach nadzoru reaktywnego.

Zwiększona odpowiedzialność za cyberbezpieczeństwo

Dyrektywa NIS2 zwiększa także odpowiedzialność objętych nią podmiotów za cyberbezpieczeństwo. Organy zarządzające, takie jak zarząd lub kadra kierownicza będą zobowiązane do zatwierdzania i nadzorowania środków cyberbezpieczeństwa, a osoby za to odpowiedzialne muszą posiadać odpowiednie kwalifikacje. W grę wchodzi osobista odpowiedzialność. Dyrektywa przewiduje potężne kary finansowe sięgające 10 milionów euro lub 2% rocznego obrotu globalnego, a w przypadku podmiotów kluczowych 7 milionów euro lub 1,4%. Kary mają być proporcjonalne i najwyższe w przypadku incydentów najpoważniejszych.

W jaki sposób przygotować się na zmiany związane z NIS2? Warto szczegółowo zapoznać się z projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, a następnie przeprowadzić audyt, który zweryfikuje gotowość przedsiębiorstwa do realizacji nowych obowiązków. W tej kwestii możesz liczyć na pomoc ze strony Network Expert!