Dyrektywa NIS2 prawdopodobnie wejdzie w Polsce w życie na początku 2026 roku. Wyodrębnia ona tak zwane podmioty kluczowe i ważne, które zostaną objęte unijnymi przepisami i wytycznymi dotyczącymi cyberbezpieczeństwa. Podobnie jak kilka lat temu w przypadku RODO, tym razem podmioty publiczne i prywatne mają przed sobą kilka ważnych wyzwań, aby przystosować się do nowych przepisów. W pierwszej kolejności warto zorientować się, czy podmiot rzeczywiście ma taki obowiązek. Co istotne, nowe prawodawstwo obejmie nie tylko przedstawicieli sektorów kluczowych, ale także – pośrednio – uczestników tak zwanego łańcucha dostaw dla tych sektorów.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa trafiła już do Sejmu

Dotychczasowe przepisy (wcześniejsza dyrektywa NIS) obejmowały dwa rodzaje podmiotów – operatorów usług kluczowych (na przykład dostawcy usług DNS) i dostawców usług cyfrowych (w tym na przykład dostawców usług chmurowych). Teraz państwa członkowskie są zobowiązane do rozszerzenia listy o kolejne przedsiębiorstwa i instytucje, by znalazło się na niej więcej podmiotów krytycznych dla funkcjonowania gospodarki. Polska implementuje nowe prawo z opóźnieniem, ale nowelizacja stosownej ustawy trafiła już do Sejmu, a Ministerstwo Cyfryzacji zapowiada jej wprowadzenie na początku przyszłego roku.

NIS2 – sektory objęte nowymi obowiązkami

O tym, jak podmioty będą zobowiązane do ochrony swoich systemów informatycznych i infrastruktury cyfrowej przed zagrożeniami piszemy gdzie indziej. Teraz skupmy się na liście podmiotów, które podzielono na podmioty kluczowe i ważne poddawane niemal identycznemu rygorowi. Reprezentują one 18 wytypowanych sektorów gospodarki.

Podmioty kluczowe

•     Energetyka – w tym operatorzy systemów elektroenergetycznych, gazowych, rafinerie, operatorzy magazynów energii i operatorzy ciepłowni miejskich.
•     Transport – przewoźnicy kolejowi, operatorzy transportu publicznego w większych miastach, zarządcy portów, lotniska, linie lotnicze.
•     Bankowość – w tym banki komercyjne, spółdzielcze oraz oddziały banków zagranicznych.
•     Rynki finansowe – w tym Giełda Papierów Wartościowych, izby rozrachunkowe operatorzy systemów obrotu finansowego.
•     Opieka zdrowotna – szpitale, producenci leków i hurtownie farmaceutyczne.
•     Woda pitna – największe sieci wodociągowe w kraju.
•     Ścieki – przedsiębiorstwa oczyszczające ścieki dla powyżej 50 000 mieszkańców.
•     Infrastruktura cyfrowa – w tym operatorzy telekomunikacyjni, DNS, rejestratorzy domen i krytyczne centrale danych.
•     Zarządzanie usługami ICT – duże firmy świadczące te usługi dla klientów biznesowych.
•     Administracja publiczna – urzędy centralne i wojewódzkie oraz samorządy powiatowe i gminne wykonujące zadania o znaczeniu centralnym
•     Sektor kosmiczny – Polska Agencja Kosmiczna oraz zarejestrowani w Polsce operatorzy satelitów.

Podmioty ważne

•     Usługi pocztowe i kurierskie – najwięksi operatorzy działający w tym sektorze.
•     Zarządzanie odpadami – zakłady przetwarzania odpadów i składowiska obsługujące powyżej 50 000 mieszkańców.
•     Żywność – podmioty zajmujące się produkcją, przetwarzaniem i dystrybucją żywności zatrudniające powyżej 250 pracowników lub notujące obrót powyżej 50 milionów euro.
•     Produkcja chemikaliów – największe zakłady działające w tej branży.
•     Produkcja wyrobów krytycznych – producenci niektórych urządzeń medycznych, leków, elektroniki, pojazdów oraz części kolejowych i lotniczych.
•     Dostawcy usług cyfrowych – w tym wyszukiwarki internetowe, sieci społecznościowe i platformy marketplace.
•     Badania – uniwersytety oraz instytucje badawcze prowadzące działalność w krytycznych sektorach, na przykład energetyki i sztucznej inteligencji.

O ile małe i mikroprzedsiębiorstwa nie są objęte dyrektywą NIS2 z nielicznymi wyjątkami, takimi jak działalność w zakresie bezpieczeństwa publicznego, o tyle średnie przedsiębiorstwa działające w powyższych sektorach muszą dostosować się do nowych przepisów.

Ważna rola łańcucha dostaw – Dyrektywa NIS2 rozszerzona na dostawców usług dla sektorów regulowanych

Poza osiemnastoma wspomnianymi sektorami krytycznymi, zarządzanie ryzykiem w cyberbezpieczeństwie zostało rozszerzone o pełny łańcuch dostaw podmiotów należących do tych sektorów. Wcześniej chodziło wyłącznie o dostawców usług kluczowych. NSI 2 zakłada, że podmioty objęte tymi przepisami muszą zarządzać ryzykiem w całym łańcuchu dostaw, uwzględniać podatność danego podmiotu na incydenty cybernetyczne, zadbać o klauzulę bezpieczeństwa w umowach z dostawcami, raportować w przypadku incydentów w łańcuchu dostaw i prowadzić nadzór nad kluczowymi dostawcami ICT. Innymi słowy, podmioty zaliczane do sektorów krytycznych muszą regularnie audytować pod względem bezpieczeństwa sieci swoich dostawców.

Nowe przepisy wejdą w życie już za kilka miesięcy, dlatego warto już teraz przeprowadzić audyt dotyczący cyberbezpieczeństwa i przygotować się na zmiany!