NIS 2 w Polsce – Q&A dla biznesu

1 miesiąc temu

Od czasu wejścia w życie RODO wielokrotnie zapowiadano kolejne „tsunami legislacyjne”, które miało przynieść zmiany na podobną skalę. Tym razem te zapowiedzi stają się rzeczywistością. Parlament Europejski uchwalił dyrektywę NIS 2[1]. Prace nad jej wdrożeniem do polskiego porządku prawnego są w toku. Po opublikowaniu drugiego projektu UKSC, Ministerstwo Cyfryzacji zapowiada, iż ustawa wejdzie w życie najpóźniej w pierwszym kwartale 2025 roku.

Czego dotyczy NIS 2 i którzy przedsiębiorcy powinni już zacząć przygotowania do jej wdrożenia? Odpowiedzi na te i inne ważne pytania czekają poniżej!

Dlaczego NIS 2 jest tak istotna?

NIS 2 ma być reakcją na postępującą transformację cyfrową i umacnianie sieci wzajemnych powiązań w społeczeństwie. Będzie odpowiadać na coraz liczniejsze i poważniejsze zagrożenia w sferze cyberbezpieczeństwa. W efekcie ma zapewnić niezakłócone funkcjonowanie rynku unijnego i ujednolicenie minimalnego standardu cyberbezpieczeństwa w państwach UE.

Chociaż może się wydawać, iż wdrożenie NIS 2 zaowocuje szeregiem uciążliwych obowiązków, to w rzeczywistości pomoże dbać o bezpieczeństwo na naprawdę podstawowym poziomie.

Dyrektywa NIS 2 – kiedy wejdzie w życie?

Ze względu na to, iż NIS 2 jest dyrektywą, wymaga implementacji do krajowego porządku prawnego. Oznacza to, iż aby mogła być stosowana, parlament musi przyjąć ustawę, która wdroży jej zapisy. Czy Polska to zrobiła?

Jeszcze nie, ale prace nad wdrożeniem NIS 2 w Polsce są w toku. Wiadomo już jednak, iż implementacja przybierze postać nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa[2] (UKSC).

13 października 2024 r. na stronie Rządowego Centrum Legislacyjnego został udostępniony drugi projekt ustawy implementującej NIS 2. Uwzględnił on zgłoszone przez szereg instytucji uwagi, tym samym wskazując nowy termin implementacji na I kwartał 2025 r.

Projekt ma zostać przekazany do opiniowana społecznego.

Kto będzie zobowiązany do stosowania nowych wymogów?

Polska ustawa, podobnie jak dyrektywa, wprowadza dwie kategorie podmiotów – najważniejsze oraz ważne. Do tych pierwszych – w rozumieniu nowego projektu polskiej ustawy – zaliczamy przede wszystkim:

  • przedsiębiorców z branż: energetycznej, transportowej, bankowości, ochrony zdrowia, zaopatrzenia w wodę pitną, infrastruktury cyfrowej, zarządzania usługami ICT;
  • przestrzeni kosmicznej, wytwarzania chemikaliów, administracji publicznej, energii jądrowej, przesyłania, wytwarzania i dystrybucji wodoru, podmioty lecznicze niebędące przedsiębiorcami;
  • przedsiębiorców komunikacji elektronicznej, którzy spełniają co najmniej wymogi dla średniego przedsiębiorcy;
  • dostawców usług DNS, usług zarządzanych w zakresie cyberbezpieczeństwa, kwalifikowanych dostawców usług zaufania, podmioty krytyczne, podmioty publiczne i tzw. podmioty kluczowe, a także rejestry nazw domen najwyższego poziomu (TLD), niezależnie od ich wielkości.

Z kolei do drugiej kategorii zaliczamy m.in.:

  • przedsiębiorców z branż: spożywczej, pocztowej, badań naukowych oraz dostawców usług cyfrowych, spełniających co najmniej wymogi uznania za średniego przedsiębiorcę;
  • podmioty produkujące: komputery, wyroby medyczne i wyroby diagnostyczne oraz urządzenia elektroniczne, pojazdy i sprzęt transportowy, które przewyższają wymogi dla średniego przedsiębiorstwa;
  • niekwalifikowanych dostawców usług zaufania, będących mikro-, małym lub średnim przedsiębiorcą;
  • przedsiębiorców komunikacji elektronicznej z sektora MŚP.

Kwalifikacja wielkości przedsiębiorstwa na potrzeby projektu implementacji dyrektywy NIS 2 odbywa się na podstawie rozporządzenia Komisji UE[3]. Dokument ten uznaje niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym. Średnim podmiotem jest więc przedsiębiorstwo, które zatrudnia co najmniej 50 pracowników i którego roczny obrót lub roczna suma bilansowa przekracza 10 mln euro.

Na jakie obowiązki powinni się przygotować przedsiębiorcy?

Znowelizowane UKSC wprowadzi dla podmiotów obowiązanych szereg nowych obowiązków. Oto 7 najistotniejszych.

1. Wdrożenie systemu zarządzania bezpieczeństwem informacji

Podmioty obowiązane będą musiały wdrożyć systemy zarządzania bezpieczeństwem informacji, które pozwolą, m.in.:

  • regularnie szacować ryzyko wystąpienia incydentu;
  • wdrażać odpowiednie i proporcjonalne rozwiązania technologiczne i organizacyjne, zmniejszające ryzyko z zakresu cyberbezpieczeństwa;
  • zbierać informacje o cyberzagrożeniach i podatnościach na incydenty systemu.

System zarządzania będzie musiał polegać na odpowiednich rozwiązaniach technologicznych i organizacyjnych, które pozwolą najlepiej zabezpieczyć przedsiębiorcę.

2. Prowadzenie dokumentacji bezpieczeństwa systemów informatycznych

Podmioty obowiązane będą musiały prowadzić szczegółową dokumentację bezpieczeństwa systemów, która będzie się składać z dwóch głównych części: dokumentacji normatywnej oraz operacyjnej.

Ta pierwsza będzie musiała zawierać, m.in. charakterystykę usługi i infrastruktury oraz zasady organizacji i wykonywania ochrony fizycznej infrastruktury.

Z kolei dokumentacja operacyjna będzie składała się z zapisów poświadczających wykonywanie czynności opisanych w dokumentacji normatywnej. Okres przechowywania tej dokumentacji nie będzie mógł być krótszy niż 2 lata. Po tym czasie trzeba będzie ją protokolarnie wycofać.

3. Zapewnienie odpowiedniego poziomu wiedzy personelu

Na kierowniku jednostki będzie ciążył obowiązek dbania o prawidłową wiedzę personelu. W praktyce najczęściej będzie to oznaczać, iż zarząd będzie musiał zadbać między innymi o to, by każdy z pracowników zapoznał się z procedurami wewnętrznymi. To organ będzie więc dbać o zapewnienie odpowiednich szkoleń z tego zakresu. Niedotrzymanie obowiązków przez kierownika jednostki może skutkować bezpośrednio na niego nałożoną karą.

4. Uzyskanie wpisu do rejestru

Zgodnie z aktualnym projektem ustawy, podmioty najważniejsze i ważne będą wpisywane do rejestru prowadzonego przez Ministerstwo Cyfryzacji. Poza podstawowymi danymi identyfikacyjnymi, w rejestrze będą zamieszczane informacje, takie jak:

  • zakres adresów IP wykorzystywanych przez podmiot,
  • domeny internetowe podmiotu,
  • rodzaj podmiotu.

5. Przeprowadzanie audytu bezpieczeństwa

Nie rzadziej niż raz na trzy lata podmioty obowiązane będą musiały przeprowadzić audyt bezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usług (na własny koszt). Do jego przeprowadzenia będą uprawnieni wyłącznie wybrani specjaliści, mający odpowiednie kwalifikacje.

6. Zgłaszanie incydentów

Kolejnym obowiązkiem, który będzie realizowany przez system informatyczny ministerstwa, będzie zgłaszanie incydentów z zakresu cyberbezpieczeństwa. Zarząd, w razie stwierdzenia takiego incydentu, będzie musiał przygotować i przesłać szereg informacji na jego temat do organu, który zostanie ostatecznie wskazany przez ustawodawcę.

7. Komunikacja zagrożeń

Podmioty najważniejsze będą musiały wymieniać się informacjami o pojawiających się zagrożeniach. W tym celu system zapewniany przez ministra zostanie odpowiednio skonfigurowany, a podmioty najważniejsze i ważne uzyskają możliwość zamieszczania w nim ostrzeżeń.

Odpowiedzialność/ryzyka

Niewypełnianie wybranych obowiązków (m.in. rejestracyjnych, dokumentacyjnych, dot. zgłoszeń) może skutkować wymierzeniem kary:

  • do 10 mln euro lub 2% rocznych przychodów, nie mniej niż 20 000 zł – wobec przedsiębiorcy.
  • do 600% wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop (przy czym przepisy w tej chwili nie precyzują okresu, za jaki wynagrodzenie ma być podstawą wymiaru) – wobec zarządu firmy.

Jeśli powyższe spowodowało m.in. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa max. kara dla firmy może wynieść choćby 100 mln zł.

Przygotowanie firmy do wdrożenia NIS 2 w Polsce – jak i kiedy zacząć?

Polscy przedsiębiorcy powinni już zacząć przygotowania do wdrożenia dyrektywy NIS 2 w Polsce. Dlaczego? Przede wszystkim dlatego, iż jej implementacja nadchodzi wielkimi krokami i nie warto zwlekać.

Przedsiębiorcy powinni również wiedzieć, że:

  • zakres obowiązków, które będą musieli spełnić, będzie szeroki i obejmie m.in. wzmocnienie zabezpieczeń systemów informatycznych oraz reagowanie na incydenty cybernetyczne;
  • odpowiedzialność za realizację tych obowiązków będzie bezpośrednio spoczywać na członkach zarządu, co oznacza konieczność większej kontroli nad kwestiami cyberbezpieczeństwa na poziomie decyzyjnym;
  • liczba podmiotów objętych nowymi regulacjami będzie znacząca. Wiele firm, które dotychczas nie musiały spełniać takich wymogów, zostanie objętych zakresem dyrektywy NIS 2;
  • kary za niestosowanie się do przepisów będą wysokie.

Co można zrobić na tym etapie?

Już teraz warto zweryfikować, jaki jest stan zarządzania ryzykiem cyberbezpieczeństwa w organizacji. Od czego więc zacząć? Od przeprowadzenia wstępnej weryfikacji podlegania pod zakres regulacji. Chodzi tu o sprawdzenie:

  • sektorów działalności,
  • wielkości przedsiębiorstwa,
  • czy podmiot podlega pod jakiekolwiek wyłączenia.

Pozwoli to oszacować, czy organizacja powinna zainteresować się regulacją, czy może przyjąć, iż nie będzie jej dotyczyła.

Kolejnym krokiem jest zadbanie o zgodność dokumentacji wewnętrznej z zakresu cyberbezpieczeństwa z najlepszymi normami. Już teraz warto przeprowadzić wewnętrzny audyt polityk bezpieczeństwa i ciągłości działania.

Następnym etapem – być może najważniejszym – jest spojrzenie na dyrektywę NIS 2 jako szansę na weryfikację cyberbezpieczeństwa w organizacji. W dobie rosnącej powszechności cyberataków na przedsiębiorstwa odpowiednie przeszkolenie personelu i sprawdzenie bezpieczeństwa organizacji są kluczowe.

Jeśli potrzebują Państwo wsparcia w przygotowaniu firmy do wdrożenia NIS 2, jesteśmy do Państwa dyspozycji. Oferujemy kompleksową pomoc w dostosowaniu polityk i standardów do nadchodzących wyzwań. Możemy zająć się nie tylko weryfikacją, czy dany podmiot podlega pod NIS 2 i aktualny projekt UKSC, ale również przeprowadzić wewnętrzny audyt bezpieczeństwa informacji. Zachęcamy do kontaktu.


[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555

z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (link)

[2] https://legislacja.gov.pl/projekt/12384504/katalog/13055207

[3] nr 651/2014 z 17 czerwca 2014 r.

Idź do oryginalnego materiału