GrantThornton - regiony
  • en
  • de
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. 5 najważniejszych informacji dotyczących NIS2

      5 najważniejszych informacji dotyczących NIS2

      Usługi

      08.03.2024

      Aktualizacja: 14.03.2024

      Dyrektywa NIS2 zastępuje dyrektywę NIS z 2016 r. i została przyjęta przez Parlament Europejski w 2022 r. Zakresem swoich regulacji obejmuje ponad 10 000 podmiotów w Unii Europejskiej. Rozporządzenie NIS2 obejmują różne podmioty z sektora usług cyfrowych, które są kluczowe dla funkcjonowania infrastruktury internetowej oraz usług z nimi związanych.

      Celem dyrektywy NIS2  jest zaoszczędzenie unijnej gospodarce 18 mld euro rocznie. Dyrektywa NIS2 jest jedną z najbardziej kompleksowych regulacji dotyczących cyberbezpieczeństwa na świecie.

      Spis treści

      Przyjęcie dyrektywy NIS2

      Dyrektywa NIS2 została przyjęta w 2022 roku i zastąpiła dyrektywę NIS z 2016 roku. Jej przyjęcie miało na celu zwiększenie odporności infrastruktury cyfrowej na zagrożenia i ataki cybernetyczne. Rozporządzenie NIS2 wprowadza nowe wymagania dotyczące cyberbezpieczeństwa dla podmiotów działających w sektorze usług cyfrowych, w tym operatorów usług istotnych dla wspólnego rynku UE, dostawców usług cyfrowych i dostawców infrastruktury krytycznej. Jej celem jest zwiększenie ochrony sieci i systemów informatycznych oraz poprawa współpracy i wymiany informacji między państwami członkowskimi w przypadku cyberataków.

      Usługi

      NIS-2 – czy moja firma podlega? [ANKIETA]

      Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

      1

      Informacje o Twoim biznesie

      2

      Kwestionariusz

      3

      Wynik

      Czy Twoja firma operuje w jednym z poniższych sektorów?

      • Energia
      • Transport
      • Bankowość i infrastruktura rynków finansowych
      • Ochrona zdrowia
      • Zaopatrzenie w wodę pitną i jej dystrybucja
      • Infrastruktura cyfrowa
      • Zarządzanie usługami ICT
      • Przestrzeń kosmiczna
      • Produkcja, wytwarzanie i dystrybucja chemikaliów
      • Produkcja, przetwarzanie i dystrybucja żywności
      • Inna produkcja
      • Usługi pocztowe
      • Gospodarowanie odpadami
      • Dostawcy usług cyfrowych
      • Badania naukowe
      • dostawca usług DNS
      • kwalifikowany albo niekwalifikowany dostawca usług zaufania
      • Podmiot krytyczny
      • Podmiot publiczny
      • Rejestr nazw domen najwyższego poziomu (TLD)
      • przedsiębiorca komunikacji elektronicznej
      • INNE

        W szczególności:

      • Wydobywanie kopalin
      • Energia elektryczna - jako operator systemów dystrybucyjnych, przesyłowych, wytwórca lub uczestnik rynku magazynowania, agregacji, a także jako operator punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
      • System ciepłowniczy lub chłodniczy - operator systemu ciepłowniczego lub chłodniczego
      • Ropa naftowa - jako operator ropociągu, operator instalacji służącej do produkcji, rafinacji, przetwarzania lub magazynowania i przesyłu ropy naftowej, jak również stanowiący krajową centralę zapasów ropy naftowej
      • Gaz - Jako przedsiębiorca dostarczający gaz lub operator systemu dystrybucyjnego, przesyłowego, magazynowania, LNG, jak również przedsiębiorstwo gazowe lub operator instalacji służących do rafinacji i przetwarzania gazu ziemnego; podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji
      • Energetyka jądrowa - podmiot będący operatorem obiektu energetyki jądrowej, podmiot będący inwestorem obiektu energetyki jądrowej
      • Wodór - jako operator instalacji służących do produkcji, magazynowania i przesyłu wodoru
      • Transport lotniczy - jako przewoźnik lotniczy, Zarządzający portem lotniczym lub jako obsługujący urządzenia pomocnicze w porcie lotniczym; operator zarządzający ruchem lotniczym, który zapewnia służbę kontroli ruchu lotniczego (ATC)
      • Transport kolejowy - zarządcy infrastruktury kolejowej lub przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
      • Transport wodny - armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, a także organy zarządzające portami, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, a także operatorzy systemów ruchu statków
      • Transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

        • W szczególności:

      • Instytucja kredytowa
      • operatorzy systemów obrotu
      • kontrahenci centralni (CCP)
      • SKOK
      • Biura maklerskie

        • W szczególności:

      • Podmiot leczniczy
      • Laboratoria referencyjne UE
      • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
      • podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowi
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki
      • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
      • Apteka ogólnodostępna
      • Hurtownia farmaceutyczna
      • dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
      • Zbiorowe odprowadzanie ścieków Przedsiębiorstwo wodociągowo-kanalizacyjne

        • W szczególności:

      • Dostawca punktu wymiany ruchu internetowego
      • Dostawca chmury obliczeniowej
      • Dostawca usług centrum przetwarzania danych
      • Dostawca sieci dostarczania treści
      • Podmiot świadczący usługę rejestracji nazw domen
      • Dostawca usług zarządzanych
      • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
      • operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej
      • W szczególności przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
      • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
      • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
      • produkcja komputerów, wyrobów elektronicznych i optycznych
      • produkcja urządzeń elektrycznych
      • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
      • produkcja pojazdów samochodowych, przyczep i naczep
      • produkcja pozostałego sprzętu transportowego
      • operatorzy świadczący usługi pocztowe
      • Zbieranie odpadów
      • Transport odpadów
      • Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
      • Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
      • Dostawy i usługi dla sektora gospodarowania odpadami
      • Zbieranie odpadów
      • dostawcy internetowych platform handlowych
      • dostawcy wyszukiwarek internetowych
      • dostawcy platform usług sieci społecznościowych
      • organizacje badawcze
      • uczelnie
      • federacje podmiotów systemu szkolnictwa wyższego i nauki
      • instytuty naukowe PAN
      • międzynarodowe instytuty naukowe
      • Centrum Łukasiewicz
      • instytuty działające w ramach Sieci Badawczej Łukasiewicz
      • Polska Akademia Umiejętności

        • W szczególności:

      • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa
      • sądy i trybunały
      • jednostki samorządu terytorialnego oraz ich związki
      • związki metropolitalne
      • jednostki budżetowe
      • samorządowe zakłady budżetowe
      • agencje wykonawcze
      • instytucje gospodarki budżetowej
      • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego
      • uczelnie publiczne
      • Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne
      • państwowe i samorządowe instytucje kultury
      • Instytuty badawcze
      • Narodowy Bank Polski
      • Bank Gospodarstwa Krajowego
      • Urząd Dozoru Technicznego
      • Polska Agencja Żeglugi Powietrznej
      • Polskie Centrum Akredytacji
      • Urząd Komisji Nadzoru Finansowego
      • Narodowy Fundusz Zdrowia
      • Polska Agencja Prasowa
      • Państwowe Gospodarstwo Wodne Wody Polskie, o którym mowa w ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2024 r. poz. 1087 i 1089)
      • Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1 pkt 1 i 3-6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju
      • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
      • Wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
      • Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
      • Zakład Unieszkodliwiania Odpadów Promieniotwórczych z siedzibą w Otwocku-Świerku
      • Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679)

      Opowiedz nam o swoim biznesie

      • Mniej niż 50
      • Pomiędzy 50 a 250
      • Więcej niż 250
      • Mniej niż 10 mln Euro
      • Pomiędzy 10 a 50 mln Euro
      • Powyżej 50 mln Euro

      Twój wynik:

      Twoje odpowiedzi
      Wielkość firmy 0 - 10 pracowników Zmień

      Adam Woźniak

      Partner

      Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

      *Zgoda obowiązkowa
      Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.

      Branże objęte dyrektywą NIS2

      Pierwsza wersja NIS miała ograniczoną liczbę sektorów. Wraz z NIS2 rozszerzono zasięg podmiotów podzielonych pomiędzy 2 sektory: kluczowe i ważne. Choć oba typy podmiotów muszą przestrzegać ram bezpieczeństwa NIS2, to kluczowe podmioty mają bardziej rygorystyczne ramy.

      Czy moja firma podlega pod NIS-2? – Sprawdź w 2 minuty

      Sektory kluczowe m.in:

      • Sektor energetyczny

      W tym dostawcy energii elektrycznej, gazu oraz ropy naftowej, operatorzy sieci przesyłowych i dystrybucyjnych, ze względu na ich krytyczne znaczenie dla funkcjonowania państw i gospodarki.

      • Usługi transportowe

      Wszystkie formy transportu, w tym lotniczy, kolejowy, drogowy i morski a także firmy logistyczne, są wymienione jako krytyczne sektory, które muszą zastosować się do wymogów NIS2.

      • Zdrowie

      Szpitale, kliniki, laboratoria, producenci leków i inne podmioty sektora zdrowia muszą spełniać zaktualizowane wymogi, aby chronić dane pacjentów i zapewnić ciągłość usług medycznych.

      • Sektor publiczny

      W tym administracja publiczna i jej kluczowe usługi, które są niezbędne dla utrzymania działalności społecznej i gospodarczej

      • Dostawcy usług finansowych

      Banki, ubezpieczyciele, giełdy, domy maklerskie i inne instytucje finansowe – wszystkie te podmioty podlegają surowszym regulacjom w zakresie cyberbezpieczeństwa pod egidą NIS2.

      • Dostawcy usług cyfrowych i łączności

      Dostawcy usług telekomunikacyjnych, dostawcy usług internetowych, usług chmurowych, platformy wymiany, platformy społecznościowe. Nowa dyrektywa rozszerza definicję usług cyfrowych i obejmuje więcej typów usług niż poprzednio.

      • Dostawcy usług wodnych i odprowadzania ścieków

      Ze względu na ich znaczenie dla zdrowia publicznego i bezpieczeństwa, sektor wody został wyraźnie wymieniony jako obszar objęty dyrektywą NIS2.

      Sektory ważne m.in.:

      • Produkcja

      Urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych oraz naczep i innego sprzętu transportowego.

      • Przemysł chemiczny

      NIS2 odnosi się do istotnego aspektu krajobrazu przemysłowego, który ma kluczowe znaczenie dla konkurencyjności Europy, czyli przemysłu chemicznego obejmującego wytwarzanie, produkcję i dystrybucję chemikaliów. Przemysł chemiczny odgrywa kluczową rolę w dostarczaniu innowacyjnych materiałów i rozwiązań technologicznych w tym zakresie.

      • Przemysł spożywczy

      NIS2 klasyfikuje sektor spożywczy jako ważny podmiot. Obejmuje wszystkie etapy od rolnictwa (produkcja) do przetwarzania żywności, pakowania, transportu i sprzedaży detalicznej oraz podmioty w łańcuchu dostaw żywności.

      • Sektor badawczy

      Jest istotną siłą napędową innowacji i postępu, co czyni go cennym celem dla cyberprzestępców próbujących zakłócić działanie systemów krytycznych lub wykraść poufne dane naukowe.

      • Gospodarka odpadami

      Biorąc pod uwagę kompleksowe zaangażowanie w zbieranie, transport, przetwarzanie i unieszkodliwianie odpadów, sektor gospodarki odpadami stoi w obliczu znacznego ryzyka cyberataków, które mogą zakłócić jego podstawowe operacje. Dyrektywa NIS2 obejmuje obecnie branżę gospodarki odpadami, zobowiązując ją do przestrzegania rygorystycznych wymogów w zakresie cyberbezpieczeństwa.

      • Usługi pocztowe i kurierskie

      Uznając znaczenie sektora pocztowego, dyrektywa NIS2 nakazuje, aby organizacje działające w tej dziedzinie podejmowały niezbędne działania w celu wzmocnienia ich postawy w zakresie cyberbezpieczeństwa, czyniąc ją silną i odporną.

      Skorzystaj z naszych usług z zakresu Cyberbezpieczeństwo i outsourcing IT
      Dowiedz się więcej

      Nadzór nad wdrożeniem dyrektywy NIS2

      Na mocy dyrektywy NIS2 nadzór nad wdrożeniem należy do organów krajowych państw członkowskich UE które muszą wyznaczyć organy ds. cyberbezpieczeństwa. Organy te będą odpowiedzialne za nadzór nad wdrażaniem dyrektywy NIS2 oraz reagowanie na incydenty cyberbezpieczeństwa. Unia Europejska również podejmuje działania mające na celu monitorowanie wdrożenia dyrektywy NIS2 oraz wspieranie państw członkowskich w zapewnieniu skutecznego egzekwowania przepisów. Komisja Europejska odgrywa kluczową rolę w koordynowaniu tych działań oraz w promowaniu współpracy między państwami członkowskimi w zakresie bezpieczeństwa cybernetycznego.

      Obowiązki dla podmiotów objętych NIS2

      Dyrektywa NIS2 przewiduje szereg obowiązków dla podmiotów objętych jej zakresem. Obowiązki te obejmują m.in.:

      1. Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cyberbezpieczeństwa.
      2. Zgłaszanie poważnych incydentów cyberbezpieczeństwa do właściwych organów.
      3. Przeprowadzanie regularnych audytów i ocen ryzyka cyberbezpieczeństwa.
      4. Utrzymywanie dokumentacji dotyczącej zastosowanych środków cyberbezpieczeństwa.
      5. Współpraca z innymi podmiotami objętymi dyrektywą NIS2 oraz organami nadzorczymi w celu wymiany informacji dotyczących cyberbezpieczeństwa.
      6. Przeprowadzanie regularnych testów i szkoleń w zakresie cyberbezpieczeństwa.

      Google News

      Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

      Sankcje za niedostosowanie się do regulacji NIS2

      Dyrektywa NIS2 (Network and Information Security Directive 2) jest prawem Unii Europejskiej, które ma na celu zwiększenie bezpieczeństwa sieci oraz systemów informacyjnych w UE. Rozporządzenie NIS2 przewiduje szereg sankcji za jej niewykonanie. Sankcje te obejmują m.in. wysokie grzywny i kary pieniężne. Sankcje mogą się różnić w zależności od kraju, a organy regulacyjne mają pewną elastyczność w ich stosowaniu, biorąc pod uwagę okoliczności każdego przypadku. Jednakże, w przypadku poważnych naruszeń bezpieczeństwa sieci lub systemów informatycznych, sankcje mogą być stosowane w pełnej surowości.

      Regulacje NIS i NIS2 stanowią kluczowy krok w kierunku zwiększenia bezpieczeństwa w Unii Europejskiej. Rozszerzenie zakresu regulacji, surowe kary za ich niedopełnienie oraz wzmocniona rola agencji krajowych w egzekwowaniu przepisów mają na celu stworzenie bezpiecznego i niezawodnego środowiska cyfrowego dla obywateli i przedsiębiorstw. Jednakże, aby osiągnąć pełną skuteczność, konieczne jest aktywne zaangażowanie wszystkich zainteresowanych stron, ciągłe monitorowanie zmieniających się zagrożeń oraz dążenie do ciągłej poprawy standardów bezpieczeństwa cyfrowego na wszystkich poziomach. Tylko w ten sposób Unia Europejska będzie mogła efektywnie bronić się przed coraz bardziej złożonymi i wyrafinowanymi atakami w cyberprzestrzeni, zapewniając jednocześnie stabilność i ciągłość funkcjonowania swoich systemów informatycznych. 

      AUTORKA: Paulina Wójcik, Cyberbezpieczeństwo i outsourcing IT

      Dowiedz się więcej o dyrektywą NIS2:

      Zobacz wideo:

      Porozmawiajmy o Twoich wyzwaniach

      Świadczymy usługi w zakresie Cyberbezpieczeństwo

      Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

      Pole zawiera niedozwolone znaki

      Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Skontaktuj się Poproś o kontakt

      Skontaktuj się
      Adam Woźniak

      Partner

      Specjalizacje

      Poproś o kontakt

      Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

      Artykuły z kategorii: Cyberbezpieczeństwo i outsourcing IT

      Zobacz wszystkie

      Newsletter

      Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

      Najczęściej czytane

      Zobacz wszystkie
      Powered by  Zgodności ciasteczek z RODO
      Informacja o ciasteczkach

      1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

      2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

      3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

      4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

      3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

      Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.