Europejska dyrektywa NIS 2 od dziś wchodzi w życie w Polsce

2 miesięcy temu
Zdjęcie: Dyrektywa NIS 2


Już dziś wchodzi w życie w Polsce europejska dyrektywa NIS 2, wprowadzając nowe wymagania dla firm w zakresie cyberbezpieczeństwa. Celem jest zwiększenie odporności firm kluczowych dla gospodarki na cyberzagrożenia. Co istotne, dyrektywa wyróżnia dwie grupy podmiotów: podmioty najważniejsze (np. energetyka, transport, finanse) i podmioty ważne (np. dostawcy usług cyfrowych), przy czym podmioty najważniejsze podlegają bardziej rygorystycznym wymogom.

Kluczowe obowiązki dla firm

Dyrektywa NIS 2 rozszerza zakres regulacji z 2016 roku i obejmuje teraz nie tylko sektory krytyczne, ale również nowe branże o strategicznym znaczeniu. najważniejsze elementy obowiązków firm to:

Zarządzanie ryzykiem: Firmy muszą wdrożyć środki ochrony technologicznej i organizacyjnej proporcjonalne do zagrożeń. Nowością jest obowiązek tworzenia planów ciągłości działania na wypadek incydentów cybernetycznych.

Raportowanie incydentów: W przypadku poważnych naruszeń bezpieczeństwa firmy muszą zgłaszać je organom w ciągu 24 godzin, a szczegółowy raport dostarczyć w ciągu 72 godzin.

Współpraca międzynarodowa: Podmioty będą musiały współpracować z krajowymi oraz unijnymi organami, udostępniając informacje na temat zagrożeń oraz uczestnicząc w koordynowanych działaniach przeciwdziałających cyberatakom.

Wzmożony nadzór nad firmami kluczowymi: Podmioty uznane za najważniejsze będą podlegać szczególnemu nadzorowi, a ich obowiązki dotyczą m.in. bardziej zaawansowanych środków bezpieczeństwa, regularnych audytów i szkoleń.

Kary za naruszenie przepisów NIS 2

Dyrektywa przewiduje surowe kary finansowe za niespełnienie wymogów, sięgające choćby 10 milionów euro lub 2% globalnych rocznych przychodów (w zależności od tego, która z tych kwot będzie większa). Dodatkowo, w skrajnych przypadkach może dojść do czasowego zawieszenia działalności lub cofnięcia licencji. Członkowie zarządów mogą być również pociągani do osobistej odpowiedzialności, jeżeli nie wypełnią swoich obowiązków w zakresie cyberbezpieczeństwa.

Dla polskich firm, zwłaszcza tych z sektorów energetycznego, transportowego i bankowego, wprowadzenie NIS 2 oznacza konieczność zainwestowania w nowe rozwiązania IT, szkolenia oraz procedury zarządzania ryzykiem. Firmy muszą być przygotowane na wzmożone kontrole oraz audyty krajowych organów nadzoru, takich jak UODO czy ABW.

Dyrektywa NIS 2 wprowadza nowy poziom odpowiedzialności za cyberbezpieczeństwo, zwłaszcza dla podmiotów kluczowych dla funkcjonowania społeczeństwa i gospodarki. Firmy będą musiały zainwestować w nowe technologie, a także wdrożyć bardziej rygorystyczne procedury zarządzania ryzykiem. Niezastosowanie się do przepisów może prowadzić do poważnych konsekwencji finansowych oraz odpowiedzialności zarządu. Więcej informacji można znaleźć na stronie NASK.

Idź do oryginalnego materiału