Dyrektywa NIS2 zastępuje dyrektywę NIS z 2016 r. i została przyjęta przez Parlament Europejski w 2022 r. Zakresem swoich regulacji obejmuje ponad 10 000 podmiotów w Unii Europejskiej. Rozporządzenie NIS2 obejmują różne podmioty z sektora usług cyfrowych, które są kluczowe dla funkcjonowania infrastruktury internetowej oraz usług z nimi związanych.

Celem dyrektywy NIS2  jest zaoszczędzenie unijnej gospodarce 18 mld euro rocznie. Dyrektywa NIS2 jest jedną z najbardziej kompleksowych regulacji dotyczących cyberbezpieczeństwa na świecie.

Przyjęcie dyrektywy NIS2

Dyrektywa NIS2 została przyjęta w 2022 roku i zastąpiła dyrektywę NIS z 2016 roku. Jej przyjęcie miało na celu zwiększenie odporności infrastruktury cyfrowej na zagrożenia i ataki cybernetyczne. Rozporządzenie NIS2 wprowadza nowe wymagania dotyczące cyberbezpieczeństwa dla podmiotów działających w sektorze usług cyfrowych, w tym operatorów usług istotnych dla wspólnego rynku UE, dostawców usług cyfrowych i dostawców infrastruktury krytycznej. Jej celem jest zwiększenie ochrony sieci i systemów informatycznych oraz poprawa współpracy i wymiany informacji między państwami członkowskimi w przypadku cyberataków.

Branże objęte dyrektywą NIS2

Pierwsza wersja NIS miała ograniczoną liczbę sektorów. Wraz z NIS2 rozszerzono zasięg podmiotów podzielonych pomiędzy 2 sektory: kluczowe i ważne. Choć oba typy podmiotów muszą przestrzegać ram bezpieczeństwa NIS2, to kluczowe podmioty mają bardziej rygorystyczne ramy.

Czy moja firma podlega pod NIS-2? – Sprawdź w 2 minuty

Sektory kluczowe m.in:

  • Sektor energetyczny

W tym dostawcy energii elektrycznej, gazu oraz ropy naftowej, operatorzy sieci przesyłowych i dystrybucyjnych, ze względu na ich krytyczne znaczenie dla funkcjonowania państw i gospodarki.

  • Usługi transportowe

Wszystkie formy transportu, w tym lotniczy, kolejowy, drogowy i morski a także firmy logistyczne, są wymienione jako krytyczne sektory, które muszą zastosować się do wymogów NIS2.

  • Zdrowie

Szpitale, kliniki, laboratoria, producenci leków i inne podmioty sektora zdrowia muszą spełniać zaktualizowane wymogi, aby chronić dane pacjentów i zapewnić ciągłość usług medycznych.

  • Sektor publiczny

W tym administracja publiczna i jej kluczowe usługi, które są niezbędne dla utrzymania działalności społecznej i gospodarczej

  • Dostawcy usług finansowych

Banki, ubezpieczyciele, giełdy, domy maklerskie i inne instytucje finansowe – wszystkie te podmioty podlegają surowszym regulacjom w zakresie cyberbezpieczeństwa pod egidą NIS2.

  • Dostawcy usług cyfrowych i łączności

Dostawcy usług telekomunikacyjnych, dostawcy usług internetowych, usług chmurowych, platformy wymiany, platformy społecznościowe. Nowa dyrektywa rozszerza definicję usług cyfrowych i obejmuje więcej typów usług niż poprzednio.

  • Dostawcy usług wodnych i odprowadzania ścieków

Ze względu na ich znaczenie dla zdrowia publicznego i bezpieczeństwa, sektor wody został wyraźnie wymieniony jako obszar objęty dyrektywą NIS2.

Sektory ważne m.in.:

  • Produkcja

Urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych oraz naczep i innego sprzętu transportowego.

  • Przemysł chemiczny

NIS2 odnosi się do istotnego aspektu krajobrazu przemysłowego, który ma kluczowe znaczenie dla konkurencyjności Europy, czyli przemysłu chemicznego obejmującego wytwarzanie, produkcję i dystrybucję chemikaliów. Przemysł chemiczny odgrywa kluczową rolę w dostarczaniu innowacyjnych materiałów i rozwiązań technologicznych w tym zakresie.

  • Przemysł spożywczy

NIS2 klasyfikuje sektor spożywczy jako ważny podmiot. Obejmuje wszystkie etapy od rolnictwa (produkcja) do przetwarzania żywności, pakowania, transportu i sprzedaży detalicznej oraz podmioty w łańcuchu dostaw żywności.

  • Sektor badawczy

Jest istotną siłą napędową innowacji i postępu, co czyni go cennym celem dla cyberprzestępców próbujących zakłócić działanie systemów krytycznych lub wykraść poufne dane naukowe.

  • Gospodarka odpadami

Biorąc pod uwagę kompleksowe zaangażowanie w zbieranie, transport, przetwarzanie i unieszkodliwianie odpadów, sektor gospodarki odpadami stoi w obliczu znacznego ryzyka cyberataków, które mogą zakłócić jego podstawowe operacje. Dyrektywa NIS2 obejmuje obecnie branżę gospodarki odpadami, zobowiązując ją do przestrzegania rygorystycznych wymogów w zakresie cyberbezpieczeństwa.

  • Usługi pocztowe i kurierskie

Uznając znaczenie sektora pocztowego, dyrektywa NIS2 nakazuje, aby organizacje działające w tej dziedzinie podejmowały niezbędne działania w celu wzmocnienia ich postawy w zakresie cyberbezpieczeństwa, czyniąc ją silną i odporną.

Skorzystaj z naszych usług z zakresu Cyberbezpieczeństwo i outsourcing IT
Dowiedz się więcej

Nadzór nad wdrożeniem dyrektywy NIS2

Na mocy dyrektywy NIS2 nadzór nad wdrożeniem należy do organów krajowych państw członkowskich UE które muszą wyznaczyć organy ds. cyberbezpieczeństwa. Organy te będą odpowiedzialne za nadzór nad wdrażaniem dyrektywy NIS2 oraz reagowanie na incydenty cyberbezpieczeństwa. Unia Europejska również podejmuje działania mające na celu monitorowanie wdrożenia dyrektywy NIS2 oraz wspieranie państw członkowskich w zapewnieniu skutecznego egzekwowania przepisów. Komisja Europejska odgrywa kluczową rolę w koordynowaniu tych działań oraz w promowaniu współpracy między państwami członkowskimi w zakresie bezpieczeństwa cybernetycznego.

Obowiązki dla podmiotów objętych NIS2

Dyrektywa NIS2 przewiduje szereg obowiązków dla podmiotów objętych jej zakresem. Obowiązki te obejmują m.in.:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cyberbezpieczeństwa.
  2. Zgłaszanie poważnych incydentów cyberbezpieczeństwa do właściwych organów.
  3. Przeprowadzanie regularnych audytów i ocen ryzyka cyberbezpieczeństwa.
  4. Utrzymywanie dokumentacji dotyczącej zastosowanych środków cyberbezpieczeństwa.
  5. Współpraca z innymi podmiotami objętymi dyrektywą NIS2 oraz organami nadzorczymi w celu wymiany informacji dotyczących cyberbezpieczeństwa.
  6. Przeprowadzanie regularnych testów i szkoleń w zakresie cyberbezpieczeństwa.

Google News

Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

Sankcje za niedostosowanie się do regulacji NIS2

Dyrektywa NIS2 (Network and Information Security Directive 2) jest prawem Unii Europejskiej, które ma na celu zwiększenie bezpieczeństwa sieci oraz systemów informacyjnych w UE. Rozporządzenie NIS2 przewiduje szereg sankcji za jej niewykonanie. Sankcje te obejmują m.in. wysokie grzywny i kary pieniężne. Sankcje mogą się różnić w zależności od kraju, a organy regulacyjne mają pewną elastyczność w ich stosowaniu, biorąc pod uwagę okoliczności każdego przypadku. Jednakże, w przypadku poważnych naruszeń bezpieczeństwa sieci lub systemów informatycznych, sankcje mogą być stosowane w pełnej surowości.

Regulacje NIS i NIS2 stanowią kluczowy krok w kierunku zwiększenia bezpieczeństwa w Unii Europejskiej. Rozszerzenie zakresu regulacji, surowe kary za ich niedopełnienie oraz wzmocniona rola agencji krajowych w egzekwowaniu przepisów mają na celu stworzenie bezpiecznego i niezawodnego środowiska cyfrowego dla obywateli i przedsiębiorstw. Jednakże, aby osiągnąć pełną skuteczność, konieczne jest aktywne zaangażowanie wszystkich zainteresowanych stron, ciągłe monitorowanie zmieniających się zagrożeń oraz dążenie do ciągłej poprawy standardów bezpieczeństwa cyfrowego na wszystkich poziomach. Tylko w ten sposób Unia Europejska będzie mogła efektywnie bronić się przed coraz bardziej złożonymi i wyrafinowanymi atakami w cyberprzestrzeni, zapewniając jednocześnie stabilność i ciągłość funkcjonowania swoich systemów informatycznych. 

AUTORKA: Paulina Wójcik, Cyberbezpieczeństwo i outsourcing IT

Dowiedz się więcej o dyrektywą NIS2:

Zobacz wideo:

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Cyberbezpieczeństwo i outsourcing IT

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.