W 2025 roku polskie przedsiębiorstwa stoją przed istotnymi zmianami w obszarze cyberbezpieczeństwa. Implementacja dyrektywy NIS2 wprowadza nowe obowiązki dla szerokiej grupy podmiotów, znacznie rozszerzając zakres dotychczasowych regulacji. Zmiany te dotyczą nie tylko dużych korporacji, ale również średnich przedsiębiorstw działających w kluczowych sektorach gospodarki.
Spis treści
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (UE 2022/2555) to unijny akt prawny przyjęty w grudniu 2022 roku, który wszedł w życie 16 stycznia 2023 roku. Stanowi ona znaczące rozszerzenie i aktualizację wcześniejszej dyrektywy NIS z 2016 roku. Głównym celem NIS2 jest wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej poprzez ustanowienie jednolitych standardów ochrony dla kluczowych sektorów gospodarki.
Dyrektywa wprowadza kompleksowe podejście do zarządzania ryzykiem cybernetycznym, obejmując nie tylko aspekty techniczne, ale także organizacyjne i zarządcze. Przewiduje ona obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa systemów sieciowych i informacyjnych.
Jakie firmy podlegają pod NIS2?
Firmy, które podlegają NIS2 można znaleźć w dyrektywnie, ale można w skrócie powiedzieć, że są to branże wrażliwe. NIS2 znacznie rozszerza krąg podmiotów objętych regulacjami w porównaniu do poprzedniej wersji. Kryterium wielkości przedsiębiorstwa również odgrywa kluczową rolę – NIS2 obejmuje średnie i duże przedsiębiorstwa zatrudniające co najmniej 50 osób lub osiągające roczny obrót przekraczający 10 milionów euro. Obejmuje ona podmioty z następujących sektorów:
Sektory kluczowe:
- Energetyka (produkcja, przesył, dystrybucja energii elektrycznej, gazu, ropy naftowej);
- Transport (lotniczy, kolejowy, wodny, drogowy);
- Bankowość i infrastruktura rynków finansowych;
- Ochrona zdrowia (szpitale, placówki medyczne);
- Woda pitna i ścieki;
- Infrastruktura cyfrowa (centra danych, dostawcy usług w chmurze, sieci dostarczania treści);
Sektory istotne:
- Usługi pocztowe i kurierskie;
- Gospodarowanie odpadami;
- Produkcja, wytwarzanie i przetwarzanie chemikaliów;
- Produkcja żywności;
- Produkcja urządzeń medycznych, komputerowych, elektronicznych, optycznych;
- Administracja publiczna;
- Badania naukowe;
Kiedy wchodzi NIS2 w Polsce?
Unia Europejska dała krajom członkowskim 21 miesięcy na implementację dyrektywy do prawa krajowego, wyznaczając termin na 17 października 2024 roku. W Polsce proces wdrażania odbywa się poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC).
Zgodnie z oficjalnymi komunikatami Ministerstwa Cyfryzacji oraz harmonogramem prac legislacyjnych, projekt ustawy ma wejść w życie w pierwszym kwartale 2025 roku. Pierwszy projekt został przedstawiony w październiku 2024 roku i obecnie przechodzi przez kolejne etapy konsultacji oraz prac parlamentarnych.
Obowiązek samoidentyfikacji podmiotów
Jednym z najważniejszych terminów dla przedsiębiorstw jest 1 kwietnia 2025 roku – do tego dnia podmioty objęte dyrektywą muszą się samoidentyfikować i zgłosić do krajowego rejestru. Zgodnie z wymogami NIS2, państwa członkowskie są zobowiązane do stworzenia i udostępnienia krajowego rejestru podmiotów kluczowych i istotnych.
W ramach nowelizacji uKSC podmioty mają obowiązek samoidentyfikacji i zgłoszenia się do rejestru w ciągu trzech miesięcy od wejścia w życie ustawy. Oznacza to, że większość firm musi być zidentyfikowana i zarejestrowana do 1 kwietnia 2025 roku.
Jak sprawdzić czy podlegam pod NIS2?
Aby sprawdzić, czy podlega się pod NIS2, należy przeanalizować kilka kluczowych kryteriów. Jednak zaleca się skonsultowanie swojej sytuacji z ekspertami ds. cyberbezpieczeństwa lub prawnikami specjalizującymi się w tym obszarze, szczególnie w przypadkach granicznych lub wątpliwych:
- Kryterium sektorowe – sprawdzić, czy działalność firmy mieści się w jednym z sektorów wymienionych w dyrektywie. Należy zwrócić uwagę, że klasyfikacja może obejmować również działalność pomocniczą lub komplementarną.
- Kryterium wielkości – ocenić czy przedsiębiorstwo zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro. Dla niektórych sektorów mogą obowiązywać inne progi.
- Znaczenie dla gospodarki – w przypadku podmiotów kluczowych dodatkowym kryterium jest ich znaczenie dla funkcjonowania gospodarki i społeczeństwa.
Jaka jest różnica między RODO a NIS2?
Chociaż zarówno RODO, jak i NIS2 dotyczą bezpieczeństwa informacji, mają różne cele i zakresy zastosowania:
RODO koncentruje się na ochronie danych osobowych i prywatności obywateli. Dotyczy wszystkich organizacji przetwarzających dane osobowe, niezależnie od sektora czy wielkości, i reguluje sposób zbierania, przetwarzania i przechowywania danych osobowych.
NIS2 skupia się na cyberbezpieczeństwie systemów sieciowych i informacyjnych w kluczowych sektorach gospodarki. Jego celem jest zapewnienie ciągłości działania krytycznej infrastruktury i usług, a nie ochrona danych osobowych jako taka.
Obie regulacje mogą się wzajemnie uzupełniać – wiele środków bezpieczeństwa wdrażanych w ramach NIS2 może przyczynić się do lepszego przestrzegania wymogów RODO, szczególnie w zakresie bezpieczeństwa przetwarzania danych osobowych.
Konsekwencje dla przedsiębiorstw
Implementacja dyrektywy NIS2 oznacza dla polskich przedsiębiorstw szereg nowych obowiązków i wyzwań. Organizacje objęte regulacją będą musiały wdrożyć odpowiednie środki techniczne i organizacyjne, ustanowić procedury zarządzania incydentami oraz zapewnić odpowiednie szkolenia dla personelu.
Szczególnie istotne będzie opracowanie planów ciągłości działania i procedur odzyskiwania po incydentach cybernetycznych. Przedsiębiorstwa będą również zobowiązane do regularnego raportowania poważnych incydentów cyberbezpieczeństwa odpowiednim organom.
Niezastosowanie się do wymogów NIS2 może wiązać się z dotkliwymi sankcjami finansowymi oraz odpowiedzialnością zarządu. Dlatego też kluczowe jest jak najszybsze rozpoczęcie przygotowań do implementacji nowych wymogów, w tym przeprowadzenie audytu obecnego stanu cyberbezpieczeństwa i opracowanie planu działań dostosowawczych.
