NIS2: Czy Twoja firma podlega nowym obowiązkom unijnym?

W świecie rosnących zagrożeń cyfrowych, Unia Europejska postanowiła wzmocnić wspólne ramy bezpieczeństwa cyfrowego, wprowadzając nową regulację – dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.). Zastępuje ona dotychczasową dyrektywę NIS z 2016 roku i znacząco rozszerza zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Chociaż dyrektywa zawiera dwie główne kategorie adresatów – tzw. podmioty kluczowe i podmioty ważne – nie oznacza to, że każda firma działająca w jednym z wymienionych sektorów automatycznie podlega obowiązkom wynikającym z NIS2.

Kiedy dyrektywa NIS2 ma zastosowanie? Nie tylko sektor, ale i skala działalności

Zgodnie z dyrektywą NIS2, objęte regulacją są podmioty średnie i duże, które prowadzą działalność w sektorach wymienionych w załączniku I (podmioty kluczowe) i załączniku II (podmioty ważne).

Podmioty kluczowe (essential entities)

Są to przedsiębiorstwa działające w sektorach o kluczowym znaczeniu dla funkcjonowania społeczeństwa i gospodarki. Należą do nich:

1. Energetyka – dostawcy energii elektrycznej, gazowej, ciepłowniczej;
2. Transport – operatorzy transportu kolejowego, lotniczego, morskiego i drogowego;
3. Bankowość i infrastruktura rynków finansowych;
4. Zdrowie – szpitale, laboratoria, producenci leków;
5. Woda pitna i ścieki;
6. Infrastruktura cyfrowa – dostawcy usług chmurowych, centrów danych, rejestry domen;
7. Administracja publiczna – w zależności od kraju, podmioty szczebla centralnego i regionalnego;
8. Przestrzeń kosmiczna.

Podmioty ważne (important entities)

To sektory, które nie są aż tak kluczowe jak powyższe, ale również mają wpływ na cyberbezpieczeństwo. Należą do nich:

1. Usługi pocztowe i kurierskie;
2. Gospodarka odpadami;
3. Produkcja i dystrybucja substancji chemicznych;
4. Produkcja i przetwarzanie żywności;
5. Podmioty wytwarzające wyroby medyczne, elektroniczne, maszyny, pojazdy, itd.

Kluczowe przesłanki objęcia obowiązkami:

1. Wielkość przedsiębiorstwa:

Dyrektywa stosuje się zasadniczo do przedsiębiorstw, które:

• zatrudniają co najmniej 50 pracowników lub
• osiągają roczny obrót lub całkowity bilans roczny przekraczający 10 milionów euro.

2. Dodatkowe kryteria dla małych podmiotów:

Nawet jeśli podmiot nie spełnia kryteriów wielkości, może zostać objęty dyrektywą, jeżeli:

• pełni istotną funkcję społeczną lub gospodarczą (np. jest jedynym dostawcą danego typu usług w kraju lub regionie).
• świadczy usługi dla administracji publicznej lub dla sektora bezpieczeństwa.
• jego usługi są niezbędne dla utrzymania funkcjonowania podstawowych usług.

3. Wyłączenia:

Dyrektywa nie ma zastosowania do:

• podmiotów prowadzących działalność w zakresie obronności.
• wymiaru sprawiedliwości i organów ścigania, które pozostają poza zakresem regulacji.

Dopiero spełnienie obu przesłanek – działalność w odpowiednim sektorze i osiągnięcie minimalnej skali działalności – powoduje, że firma zostanie uznana za podmiot objęty obowiązkami wynikającymi z dyrektywy NIS2.

Jakie obowiązki nakłada dyrektywa NIS2?

Podmioty objęte dyrektywą, zarówno kluczowe, jak i ważne, są zobowiązane do wdrożenia szeregu środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem oraz zapewnienia ciągłości działania usług.

Główne obowiązki podmiotów zgodnie z NIS2:

1. Ocena ryzyka i zarządzanie nim

Podmioty muszą regularnie identyfikować zagrożenia i wdrażać środki adekwatne do ryzyka, w tym:

• polityki analizy ryzyka i bezpieczeństwa informacji,
•  środki zapobiegania incydentom oraz ich wykrywania i reagowania,
• środki dotyczące bezpieczeństwa łańcucha dostaw,
• szkolenia pracowników z zakresu cyberbezpieczeństwa,
• stosowanie kryptografii i uwierzytelniania wieloskładnikowego.

2. Zgłaszanie incydentów bezpieczeństwa

• Wstępne zgłoszenie incydentu poważnego (z istotnym wpływem na usługę) musi nastąpić w ciągu 24 godzin od jego wykrycia,
• Raport końcowy – do 72 godzin od zgłoszenia wstępnego,
• Sprawozdanie końcowe – najpóźniej w ciągu miesiąca od wykrycia incydentu,
• Incydenty muszą być zgłaszane do właściwego CSIRT-u (Computer Security Incident Response Team) lub innego organu wskazanego przez państwo członkowskie.

3. Współpraca z organami nadzorczymi

Podmioty muszą:

• umożliwiać przeprowadzanie audytów i kontroli,
• dostarczać na żądanie dokumentację związaną z bezpieczeństwem systemów informacyjnych,
• informować organy o istotnych zmianach mających wpływ na bezpieczeństwo usług.

4. Obowiązki kadry zarządzającej

Zarząd (lub inne osoby odpowiedzialne za kierowanie podmiotem) ponosi bezpośrednią odpowiedzialność za wdrożenie polityk zgodnych z dyrektywą (art. 20 ust. 1). Przewidziano również obowiązek szkoleń z zakresu cyberbezpieczeństwa dla osób decyzyjnych.

Jakie sankcje przewiduje dyrektywa NIS2?

Dyrektywa NIS2, zobowiązuje państwa członkowskie do wprowadzenia skutecznych, proporcjonalnych i odstraszających kar za naruszenie przepisów.

Najważniejsze sankcje, które mogą być stosowane:

1. Kary finansowe – ustalane przez każde państwo, ale dyrektywa wprowadza minimalne progi maksymalne:

• dla podmiotów kluczowych: do 10 mln euro lub 2% rocznego światowego obrotu (jeśli wyższe),
• dla podmiotów ważnych: do 7 mln euro lub 1,4% rocznego światowego obrotu (jeśli wyższe).

2. Środki nadzorcze:

• nakaz wdrożenia określonych środków w określonym terminie,
• czasowe zawieszenie działalności (w przypadku rażących naruszeń),
• informowanie opinii publicznej o naruszeniach.

3. Odpowiedzialność kadry zarządzającej: Organy nadzorcze mogą nakładać sankcje osobiste na członków zarządu – np. czasowy zakaz pełnienia funkcji kierowniczych, jeżeli nie dopełnili oni obowiązków nadzoru i zarządzania ryzykiem.

Jak możemy Ci pomóc?

Nasza kancelaria może:

• przeprowadzić audyt zgodności Twojej firmy z NIS2,
• przygotować polityki i procedury bezpieczeństwa informacji,
• wspierać Cię we wdrożeniu rozwiązań organizacyjnych i prawnych,
• reprezentować Cię w kontaktach z organami nadzorczymi.

Nie czekaj do ostatniej chwili – transpozycja NIS2 do polskiego prawa już się rozpoczęła. Warto zacząć działać już teraz.