Dyrektywa NIS 2 – nowe otwarcie w zakresie cyberbezpieczeństwa

Dyrektywa NIS 2, którą trzeba zaimplementować do krajowych porządków prawnych już w październiku przyszłego roku, to kontynuacja wcześniejszej dyrektywy NIS. Jednocześnie jest ona zdecydowanie bardziej szczegółową i surowszą wersją swojej poprzedniczki.

Dyrektywa NIS 2 istotnie rozszerza nie tylko krąg podmiotów objętych wymogami w ramach krajowego systemu cyberbezpieczeństwa, ale także zakres ich obowiązków. Za nieprzestrzeganie wymogów grozić będą surowe konsekwencje, m.in. wysokie kary finansowe.

Skorzystaj z wiedzy ekspertów podczas konferencji “NIS 2 - ewolucja czy rewolucja?”, 20 czerwca 2023, online >>

Kary finansowe to jednak nie wszystko. Warto mieć na uwadze również szeroki katalog środków nadzoru i egzekwowania przepisów. W tym zakresie dyrektywa NIS 2 przewiduje, że właściwe organy będą mogły m.in. prowadzić kontrole, audyty i skany bezpieczeństwa, czy też występować z wnioskiem o przedstawienie dowodów realizacji polityk cyberbezpieczeństwa przed dany podmiot. To dobrze pokazuje, że NIS 2 kładzie nacisk na efektywność, czyli budowanie rzeczywistej, faktycznej zgodności z przepisami.

Wojciech Piszewski, adwokat, Rymarz Zdort Maruta
Wojciech Piszewski, adwokat, Rymarz Zdort Maruta

Konieczne stanie się zatem nie tylko spełnienie szczegółowych wymogów dyrektywy, ale również „pokazanie” zgodności. Unia Europejska zdała sobie bowiem sprawę, że wobec rosnącego poziomu zagrożeń w obszarze cyberbezpieczeństwa trzeba spójniej i skuteczniej budować odporność cyfrową. NIS 2 wprowadza także nowy podział podmiotów objętych regulacją, na podmioty kluczowe oraz ważne.

Przygotuj się

Obowiązki i środki ich egzekwowania przewidziane w NIS 2 idą znacznie dalej niż w dyrektywie NIS, na której opiera się obecna ustawa o krajowym systemie cyberbezpieczeństwa. Dlatego już dzisiaj warto zapoznać się z najważniejszymi zmianami i rozpocząć przygotowania do ich wdrożenia w organizacji.

NIS 2 – dlaczego kolejna dyrektywa?

Dyrektywa NIS 2 ma przede wszystkim zharmonizować przepisy w zakresie cyberbezpieczeństwa w państwach członkowskich UE i poprawić operacyjny wymiar współpracy między organami, które odpowiadają za ten obszar. Prawodawca unijny zauważył bowiem, że w państwach członkowskich powstały zasadnicze rozbieżności m.in. właśnie w zakresie katalogu podmiotów objętych wymogami NIS, jak również w zakresie samych wymogów. Za konieczne uznał więc wyeliminowanie tych rozbieżności.

Ponadto konieczne okazało się zaktualizowanie wykazu sektorów i działań, które podlegają obowiązkom. Prawodawca unijny zauważył, że nie wszystkie podmioty, które mają znaczenie dla systemów cyberbezpieczeństwa, objął reżim pierwszej dyrektywy NIS. Wobec postępującego rozwoju cyfryzacji, przyjęte rozwiązania okazały się po prostu nie dość skuteczne dla zapewnienia wysokiego poziomu cyberbezpieczeństwa w UE. Odpowiedzą na te problemy ma być właśnie Dyrektywa NIS 2.

Subiektywny przegląd kluczowych zmian

Z perspektywy podmiotów kluczowych i ważnych najważniejsze zmiany w NIS 2 to m.in. doprecyzowanie ich obowiązków w obszarze zarządzania ryzykiem. W tym zakresie NIS 2 wprowadza konkretny katalog rozwiązań technicznych, operacyjnych i organizacyjnych, które trzeba będzie wdrożyć (jako swego rodzaju „niezbędne minimum”). Środki te obejmują m.in. konieczność wprowadzenia polityki analizy ryzyka, obsługę incydentów, ale też działania zmierzające do zapewnienia bezpieczeństwa łańcucha dostaw czy szkolenia z cyberbezpieczeństwa. Środki powinny być odpowiednie i proporcjonalne do zidentyfikowanych zagrożeń. Szczególnie podkreślono też rolę kadry zarządzającej, która ma je zatwierdzać i ponosić za to bezpośrednią odpowiedzialność.

Warto podkreślić, że dyrektywa NIS 2 przewiduje znaczne zwiększenie kar za naruszenia wymogów cyberbezpieczeństwa w zakresie stosowania środków zarządzania ryzykiem i obsługi incydentów. Dla podmiotów kluczowych maksymalna kara ma wynosić co najmniej 10 milionów euro lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, przy czym zastosowanie będzie miała kwota wyższa. W przypadku podmiotów ważnych limit kar jest nieco niższy.

Maciej Troć, prawnik, Rymarz Zdort Maruta
Maciej Troć, prawnik, Rymarz Zdort Maruta

Oprócz kar, NIS 2 w sposób bardziej rozbudowany i szczegółowy odnosi się do czynności, które podmiot objęty wymogami dyrektywy ma obowiązek podjąć w ramach obsługi incydentu bezpieczeństwa. Wprowadzono szczegółową, dwuetapową procedurę i określono konkretne terminy podejmowania czynności. Co istotne, obowiązek raportowania dotyczy nie tylko informacji o incydentach bezpieczeństwa, ale również informacji o zidentyfikowanych zagrożeniach, które mogą doprowadzić do wystąpienia istotnego incydentu bezpieczeństwa.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Poznaj aktualne konferencje “Pulsu Biznesu” >>

Rozszerzenie zakresu podmiotowego i nowe kryteria kwalifikacji

Jak już wspomniano, NIS 2 wprowadza nowy podział podmiotów objętych regulacją – na podmioty kluczowe oraz podmioty ważne. Rozszerzeniu ulega także wykaz sektorów i rodzajów działalności, które uważane będą za kluczowe (nowe sektory to m.in. sektor „kosmiczny” oraz infrastruktura cyfrowa).

W przypadku podmiotów ważnych zmiany idą jeszcze dalej. Za wyjątkiem dostawców usług cyfrowych, cały katalog podmiotów objętych regulacją jest nowy i obejmuje:

  • usługi pocztowe i kurierskie;
  • gospodarowanie odpadami;
  • produkcję (wyroby medyczne i wyroby medyczne do diagnostyki in vitro; produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy);
  • produkcję i dystrybucję chemikaliów;
  • produkcję, przetwarzanie i dystrybucję żywności.
Nowe kryteria

NIS 2 wprowadza jednocześnie zupełnie nowe kryteria kwalifikacji podmiotów objętych regulacją. Konkretne obszary działalności wskazano w załącznikach do dyrektywy (pierwszy dotyczy podmiotów kluczowych, a drugi – podmiotów ważnych). O objęciu regulacjami nie będzie już zatem decydować indywidualna decyzja właściwego organu.

Każdy podmiot będzie musiał samodzielnie dokonać oceny w tym zakresie, co wobec licznych wyjątków przewidzianych w przepisach NIS 2, wcale nie będzie łatwe.

Podmiotami kluczowymi i ważnymi zgodnie z dyrektywą będą co do zasady duże i średnie firmy, przy czym w szczególnych przypadkach NIS 2 może dotyczyć także mikro- i małych przedsiębiorców (na przykład jeśli mają charakter krytyczny w rozumieniu dyrektywy CER).

Wszystko co chcesz wiedzieć o Dyrektywie NIS 2 >>

Podejście oparte na ryzyku i środki zaradcze

Podobnie jak wiele innych aktów unijnych, NIS 2 przyjmuje podejście oparte na ryzyku. W praktyce oznacza to, że podmiot objęty dyrektywą ma obowiązek ocenić ryzyko w organizacji, a następnie stosować środki adekwatne i proporcjonalne do zidentyfikowanego ryzyka wystąpienia incydentu cyberbezpieczeństwa. Firmy będą więc musiały we własnym zakresie dobrać odpowiednie środki organizacyjne, techniczne i operacyjne.

Autorzy: Wojciech Piszewski, adwokat oraz Maciej Troć, prawnik, kancelaria Rymarz Zdort Maruta. Autorzy będą prelegentami konferencji “Pulsu Biznesu”: NIS 2 - ewolucja, czy rewolucja, która odbędzie się 20 czerwca, online >>

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

20

lat doświadczenia w organizacji wydarzeń dla biznesu

Doświadczenie

Konferencje, warsztaty i szkolenia dla biznesu organizujemy od 2004 roku. Najbardziej aktualne tematy dla przedstawicieli wielu branż oraz uznana marka na rynku sprawiają, że jesteśmy czołowym organizatorem wydarzeń skierowanych do specjalistów, menedżerów i przedstawicieli wyższej kadry zarządzającej, którzy stawiają na rozwój i nieustanne podnoszenie kwalifikacji.

1546

firm zaufało nam w 2023 roku

Profesjonalizm i nowoczesne kategorie szkoleń

Nasze konferencje, warsztaty oraz szkolenia biznesowe prowadzą najlepsi mówcy - trenerzy i praktycy będący uznanymi ekspertami w swoich dziedzinach i mający na swoim koncie znaczące osiągnięcia. Pomożemy Ci w wielu dziedzinach - zarządzaniu zespołem, budowaniu marki osobistej, udoskonalaniu obsługi klienta, poznaniu nowych trendów rynkowych, nadchodzących zmian legislacyjnych itp. Nie ma lepszej inwestycji niż inwestycja w siebie.

3396

uczestników wydarzeń w 2023 roku

Tysiące zadowolonych klientów

Efektywne prowadzenie firmy nie jest możliwe bez ciągłego rozwoju, zdobywania wiedzy i umiejętności korzystania z odpowiednich narzędzi. Wiedzą o tym tysiące przedsiębiorców, menedżerów i specjalistów, którzy co roku uczestniczą w naszych wydarzeniach, szukając nie tylko wiedzy i inspiracji, ale również doskonałej okazji do nawiązania cennych kontaktów. Udział w wydarzeniach PB to doskonałe forum wymiany doświadczeń i networkingu.