Dynamiczny rozwój technologii oraz rosnąca liczba cyberzagrożeń sprawiły, że Unia Europejska zdecydowała się na wprowadzenie nowych, bardziej rygorystycznych regulacji w zakresie cyberbezpieczeństwa. Dyrektywa NIS2 ustanawia jednolite ramy prawne w celu zwiększenia odporności systemów informatycznych i bezpieczeństwa sieci w kluczowych sektorach gospodarki. W praktyce przedsiębiorcy coraz częściej zadają pytanie: kogo dotyczy NIS2 i czy ich działalność podlega nowym obowiązkom.
Należy podkreślić, że NIS2 zakres zastosowania jest znacznie szerszy niż poprzedniej regulacji (NIS1), a nowe przepisy obejmują zarówno duże podmioty, jak i część średnich przedsiębiorstw działających w sektorach uznanych za krytyczne.
Kogo dotyczy dyrektywa NIS2?
Odpowiedź na pytanie, kogo dotyczy dyrektywa NIS2 w Polsce, wynika bezpośrednio z klasyfikacji podmiotów oraz sektorów działalności. Dyrektywa obejmuje tzw. podmioty kluczowe NIS2 oraz podmioty ważne NIS2, które zostały wskazane jako istotne z punktu widzenia bezpieczeństwa państwa i gospodarki.
Podmioty kluczowe to przede wszystkim organizacje działające w sektorach o najwyższym znaczeniu dla funkcjonowania państwa, natomiast podmioty ważne obejmują szerszy katalog przedsiębiorstw, których działalność może mieć istotny wpływ na stabilność rynku.
W praktyce oznacza to, że obowiązki wynikające z NIS2 nie ograniczają się wyłącznie do największych operatorów infrastruktury krytycznej, lecz obejmują również przedsiębiorców działających w wielu sektorach gospodarki.
Jakie sektory są objęte regulacjami NIS2?
Sektory objęte NIS2 zostały znacząco rozszerzone w porównaniu do wcześniejszych regulacji. Dyrektywa obejmuje łącznie osiemnaście sektorów uznanych za kluczowe dla bezpieczeństwa Unii Europejskiej.
Do najważniejszych należą:
- energia, transport, opieka zdrowotna i sektor finansowy;
- gospodarka wodna i infrastruktura cyfrowa;
- dostawcy usług chmurowych i centrów danych;
- dostawcy publicznej łączności elektronicznej;
- gospodarowanie odpadami i ściekami;
- produkcja produktów o krytycznym znaczeniu;
- usługi pocztowe i kurierskie;
- administracja publiczna na szczeblu centralnym i regionalnym.
Rozszerzenie katalogu sektorów powoduje, że NIS2 podmioty objęte obejmują znacznie szerszą grupę przedsiębiorstw niż dotychczas.
Jakie firmy są objęte dyrektywą NIS2?
Dyrektywa NIS2 obejmuje przede wszystkim średnie i duże przedsiębiorstwa działające w wskazanych sektorach. Kryteria objęcia regulacją opierają się głównie na wielkości organizacji oraz znaczeniu jej działalności.
W praktyce oznacza to, że:
- duże przedsiębiorstwa z sektorów krytycznych podlegają regulacji automatycznie;
- średnie firmy mogą zostać objęte przepisami, jeśli ich działalność ma istotne znaczenie;
- w niektórych przypadkach także mniejsze podmioty mogą zostać objęte regulacją, jeżeli pełnią kluczową rolę w łańcuchu dostaw.
Pełne wyłączenie mikroprzedsiębiorstwa spod obowiązków wynikających z dyrektywy NIS2 jest możliwe tylko w określonych przypadkach. Dotyczy to firm, które nie funkcjonują w sektorach uznanych za kluczowe lub ważne, nie świadczą usług dla operatorów systemów ani podmiotów publicznych objętych regulacją oraz spełniają kryteria dotyczące niewielkiej skali działalności (zarówno pod względem zatrudnienia, jak i finansów).
W praktyce jednak wiele mikroprzedsiębiorstw prowadzi działalność wykraczającą poza jeden jasno zdefiniowany sektor. Przykładowo firma IT, mimo niewielkich rozmiarów, może realizować projekty dla większych podmiotów infrastrukturalnych. W takiej sytuacji jej udział w łańcuchu dostaw może być wystarczającą przesłanką do objęcia jej wymogami dyrektywy.
Dlatego odpowiedź na pytanie kogo dotyczy NIS2 nie zawsze jest oczywista i wymaga indywidualnej analizy działalności przedsiębiorstwa, którą może przeprowadzić wyspecjalizowana w obszarze prawo nowych technologii kancelaria.
Jakie są obowiązki podmiotów objętych dyrektywą NIS2?
NIS2 obowiązki firm obejmują szereg działań mających na celu zapewnienie odpowiedniego poziomu cyberbezpieczeństwa. W szczególności obowiązki NIS2 przedsiębiorcy koncentrują się na zarządzaniu ryzykiem oraz reagowaniu na incydenty.
Do najważniejszych należą:
- wdrożenie środków bezpieczeństwa technicznego i organizacyjnego;
- monitorowanie zagrożeń i reagowanie na incydenty;
- zgłaszanie poważnych incydentów do właściwych organów;
- prowadzenie dokumentacji i procedur bezpieczeństwa;
- szkolenie pracowników w zakresie cyberbezpieczeństwa.
Dyrektywa przewiduje również rozbudowane mechanizmy nadzoru i egzekwowania przepisów, w ramach których cykliczny audyt NIS2 stanie się standardem weryfikacji odporności cyfrowej, a także system wzajemnych ocen między państwami członkowskimi. Celem tych działań jest zwiększenie poziomu zaufania oraz zdolności reagowania na zagrożenia w skali całej Unii Europejskiej. W praktyce oznacza to, że wdrożenie wymogów NIS2 powinno być traktowane jako element strategicznego zarządzania ryzykiem w przedsiębiorstwie.
FAQ – pytania i odpowiedzi
Czy małe firmy muszą stosować się do NIS2?
W teorii nie, w praktyce wszystko zależy od profilu ich działalności i miejsca w łańcuch świadczenia usług.
Czy NIS2 dotyczy tylko firm IT?
Nie – obejmuje wiele sektorów, w tym transport, zdrowie, finanse czy administrację publiczną.
Czy brak wdrożenia NIS2 wiąże się z karami?
Tak – dyrektywa przewiduje sankcje finansowe oraz środki nadzorcze wobec podmiotów niespełniających wymogów.
