Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Dyrektywa NIS 2 – kogo obejmą nowe przepisy?

PrintMailRate-it

​​​​​​​​​Michał Majnusz, Alicja Szyrner

7 października 2024


Dyrektywa NIS 2 (dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej), która weszła w życie w 2023 r., przewiduje środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE. 

Termin implementacji dyrektywy upływa już 17 października 2024 r. Obecnie w Polsce trwają pracę nad projektem zmiany nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która wdroży dyrektywę NIS 2.

Zakres podmiotowy NIS 2


Dyrektywa NIS 2znacząco rozszerza zakres podmiotów objętych regulacjami oraz ujednolica obowiązki na podmioty kluczowe i ważne. To, czy dany podmiot jest ważny czy kluczowy, należy ocenić, biorąc pod uwagę sektor działalności przedsiębiorcy oraz jego wielkość.

Na chwilę obecną projekt ustawy implementującej dyrektywę przewiduje podział na następujące sektory kluczowe i ważne:

​sekt​​​​ory kluczowe
​​sektory ważne​
energia, transport, infrastruktura cyfrowa, produkcja, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, ścieki, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna, produkcja, wytwarzanie i dystrybucja chemikaliów
​gospodarowanie odpadami, dostawcy usług cyfrowych, badania naukowe, usługi pocztowe​


Podmioty kluczowe


Podmioty kluczowe to podmioty dostarczające usługi niezbędne do funkcjonowania społeczeństwa i gospodarki w kluczowych sektorach. Co do zasady podmiotami kluczowymi są duże przedsiębiorstwa (tj. zatrudniające więcej niż 250 osób oraz których obroty roczne przekraczają 50 mln euro i/lub których roczna suma bilansowa przekracza 43 mln euro), a także mniejsze przedsiębiorstwa spełniające kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.

Podmioty ważne


Podmioty ważne to podmioty, których działalność ma istotny wpływ na funkcjonowanie społeczeństwa i gospodarki UE. Za podmioty ważne należy uznać średnich przedsiębiorców działających w sektorach kluczowych oraz średnich lub dużych przedsiębiorców działających w sektorach ważnych.

Jak widać, zakres podmiotów, które mogą zostać zakwalifikowane jako podmioty kluczowe i ważne, jest bardzo szeroki. Co istotne, w przeważającej większości to sami przedsiębiorcy będą musieli ocenić, czy stanowią podmioty kluczowe lub ważne, i na tej podstawie ocenić, w jakim zakresie podlegają dyrektywie NIS 2.

Obowiązki i odpowiedzialność


Podmioty kluczowe oraz ważne będą obowiązane do odpowiedniego zarządzania ryzykiem związanym  z cyberbezpieczeństwem, m.in. do wdrożenia:

  • polityki analizy ryzyka i bezpieczeństwa systemów informatycznych, 
  • obsługi incydentu, 
  • ciągłości działania i zarządzania kryzysowego, np. zarządzania kopiami zapasowymi i przywracania normalnego działania, 
  • bezpieczeństwa łańcuchu dostaw,
  • bezpieczeństwa w procesie nabywania, rozwoju oraz utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi i ich ujawniania,
  • polityki i procedur służących ocenie skuteczności środków działania zarządzaniem ryzykiem w cyberbezpieczeństwie,
  • podstawowych praktyk cyberhigieny oraz przeprowadzania szkoleń z zakresu cyberbezpieczeństwa,
  • polityk i procedur stosowania kryptografii lub szyfrowania,
  • bezpieczeństwa zasobów ludzkich, polityki kontroli i dostępu oraz zarządzania aktywami, 
  • stosowania uwierzytelniania wieloskładnikowego lub ciągłego w stosownych przypadkach.   

W przypadku braku wdrożenia prawidłowych środków zarządzania ryzykiem w ramach cyberbezpieczeństwa zarówno podmioty, jak i członkowie ich organów będą mogli zostać pociągnięci do odpowiedzialności, w tym do konieczności zapłaty wysokich kar administracyjnych sięgających do 10 mln euro lub aż 2% rocznego obrotu przedsiębiorstwa.

Biorąc pod uwagę zbliżający się termin implementacji NIS 2, zachęcamy do jak najszybszej weryfikacji, czy dany podmiot stanowi podmiot kluczowy lub istotny. Nasi eksperci z chęcią wesprą Cię w tym temacie – napisz do nas​.

Kontakt

Contact Person Picture

Michał Majnusz

radca prawny

+48 882 786 777

Wyślij zapytanie

Contact Person Picture

Alicja Szyrner

radca prawny

Wyślij zapytanie



Deutschland Weltweit Search Menu