Dyrektywa NIS2 (ang. Directive on Security of Network and Information Systems), będąca następczynią pierwszej dyrektywy NIS z 2016 roku, to kluczowy akt prawny Unii Europejskiej, który znacząco rozszerza zakres regulacji w zakresie cyberbezpieczeństwa. Została przyjęta w odpowiedzi na rosnące zagrożenia cyfrowe i potrzebę harmonizacji przepisów w państwach członkowskich. Implementacja dyrektywy do krajowego porządku prawnego następuje poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, co dla wielu podmiotów oznacza nowe, konkretne obowiązki.
Dyrektywa NIS2 obejmuje nie tylko tzw. operatorów usług kluczowych i dostawców usług cyfrowych, jak miało to miejsce w poprzednim reżimie prawnym, lecz teraz dotyczy również znacznie szerszej grupy podmiotów, w tym tzw. podmiotów istotnych i ważnych. Innymi słowy, jeśli Twoja firma funkcjonuje w jednym z sektorów objętych przepisami NIS2, niezależnie od tego, czy jesteś podmiotem prywatnym czy publicznym, nowe regulacje mogą Cię bezpośrednio dotyczyć.
Branże objęte przepisami NIS2
Zakres sektorowy NIS2 został znacznie rozszerzony w porównaniu z pierwotną wersją dyrektywy. Przepisy obejmują teraz m.in.:
- energetykę (w tym gaz i ropę naftową),
- transport (kolej, lotnictwo, żeglugę, drogi),
- ochronę zdrowia,
- gospodarkę wodną,
- gospodarkę odpadami,
- infrastrukturę cyfrową (np. dostawców chmur obliczeniowych, DNS, centra danych),
- administrację publiczną.
Wprowadzenie kategorii podmiotów istotnych i ważnych powoduje, że także mniejsze firmy, o ile ich działalność ma znaczenie dla bezpieczeństwa i funkcjonowania usług kluczowych, mogą podlegać pod regulacje. W praktyce oznacza to, że ustawa cyberbezpieczeństwo, jako akt wykonawczy do dyrektywy NIS2, będzie obejmować dziesiątki nowych podmiotów, które dotychczas nie musiały przestrzegać tego typu obowiązków.
NIS2 a obowiązki firm – co się zmienia?
Wprowadzenie dyrektywy NIS2 oznacza znaczne rozszerzenie katalogu obowiązków organizacyjnych i technicznych. Każdy podmiot objęty przepisami będzie musiał przyjąć kompleksowe podejście do zarządzania ryzykiem cybernetycznym, wdrożyć odpowiednie polityki i procedury, oraz zapewnić odpowiedni poziom ochrony systemów informatycznych.
Audyt zgodności z NIS2 – pierwszy krok do bezpieczeństwa
Z mojego doświadczenia wynika, że kluczowym elementem wdrożenia NIS2 w organizacji jest przeprowadzenie tzw. audytu startowego. Taki audyt pozwala ocenić aktualny stan zabezpieczeń, polityk, procesów i infrastruktury IT w kontekście nowych wymogów prawnych. Audyt nie jest obowiązkowy formalnie, ale w praktyce stanowi podstawę do zaprojektowania dalszych działań.
Jak wygląda audyt NIS2 – etapy i zakres analizy
Proces audytu może różnić się w zależności od wielkości organizacji, jej struktury czy rodzaju prowadzonej działalności, ale zazwyczaj obejmuje następujące etapy:
- Wstępna analiza prawna i identyfikacja obowiązków wynikających z dyrektywy NIS2;
- Przegląd dokumentacji (polityki bezpieczeństwa, procedury reagowania na incydenty);
- Ocena infrastruktury IT, w tym systemów zarządzania tożsamością, kopii zapasowych, logowania i detekcji zagrożeń;
- Analiza organizacyjna – rola zarządu, kompetencje pracowników, szkolenia;
- Rekomendacje i roadmapa dostosowania.
Warto podkreślić, że NIS2 wymaga nie tylko reaktywnych środków (czyli takich, które wchodzą w grę dopiero po incydencie), ale także aktywnego zarządzania ryzykiem oraz współpracy z krajowymi organami odpowiedzialnymi za cyberbezpieczeństwo.
Ryzyko kar i odpowiedzialność – co grozi za brak wdrożenia NIS2?
Zgodnie z dyrektywą NIS2 oraz projektowaną nowelizacją ustawy cyberbezpieczeństwo, brak dostosowania się do nowych przepisów może skutkować poważnymi konsekwencjami finansowymi i prawnymi. Sankcje administracyjne mogą wynosić nawet do 10 mln euro lub 2% globalnego obrotu, w zależności od tego, która kwota będzie wyższa.
Odpowiedzialność może zostać nałożona zarówno na podmiot jako taki, jak i indywidualnie na członków zarządu, co stanowi istotną zmianę względem poprzednich przepisów. Organ nadzorczy (CSIRT NASK lub odpowiedni regulator sektorowy) będzie miał uprawnienia do przeprowadzania inspekcji, żądania dokumentów, a nawet wydawania decyzji o zakazie prowadzenia określonej działalności.
Kto przeprowadza audyt NIS2 i jak wybrać odpowiedniego doradcę?
Dobór odpowiedniego partnera do przeprowadzenia audytu NIS2 jest kluczowy. Moim zdaniem warto postawić na zespoły łączące kompetencje prawnicze i technologiczne. Niezbędna jest bowiem znajomość przepisów prawa (zarówno unijnego, jak i krajowego), jak również umiejętność oceny stanu zabezpieczeń IT.
Dobry audytor powinien nie tylko ocenić aktualny stan zgodności, ale przede wszystkim wskazać konkretne działania naprawcze, dostosowane do specyfiki Twojej firmy. Warto też upewnić się, czy audytor posiada doświadczenie w pracy z firmami z sektora objętego dyrektywą NIS2 oraz czy rozumie praktyczne aspekty wdrożenia rekomendacji.
Zbliżające się terminy implementacji dyrektywy do krajowego porządku prawnego powinny zmotywować każdą organizację do przeprowadzenia audytu startowego. Lepiej przygotować się zawczasu, niż później zmagać się z kosztownymi skutkami braku zgodności z nowym reżimem prawnym.
