‍Czym jest dyrektywa NIS2 i kogo dotyczy w Polsce?

‍

Dyrektywa NIS2 (Network and Information Security 2) to unijne rozporządzenie, które weszło w życie w grudniu 2022 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W Polsce, 7. projekt UKSC jest na Komitecie Stałym Rady Ministrów i liczymy, że niebawem zostanie przekazany do sejmu.

NIS2 to znaczne rozszerzenie poprzedniej dyrektywy NIS1. Teraz obejmuje dużo szersze spektrum podmiotów – nie tylko operatorów usług kluczowych, ale też średnie i duże przedsiębiorstwa z wielu branż. Polska ustawa KSC nawet nieco rozszerza zakres podmiotów kluczowych i ważnych względem samej dyrektywy.

‍

Podmioty kluczowe – sektory i branże w Polsce

‍

Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (projekt) rozwija i uzupełnia podział oparty na kryteriach wielkościowych z rozporządzenia Komisji (UE) nr 651/2014.

Sama przynależność do sektora kluczowego lub ważnego nie wystarcza, aby podmiot podlegał pod ustawę. Zasadniczo, ustawa nakłada obowiązki na te podmioty, które spełniają kryteria średniego przedsiębiorstwa (tj. zatrudniają co najmniej 50 pracowników lub osiągają roczny obrót lub sumę bilansową powyżej 10 mln euro).

Jednakże, polski projekt ustawy wprowadza dodatkowe rozszerzenia i wyjątki, które wykraczają poza ten ogólny schemat. Dzięki temu podział jest bardziej precyzyjny i dopasowany do specyfiki polskiej gospodarki oraz strategicznego znaczenia niektórych podmiotów.

‍

Podmioty kluczowe w Polsce, podzielone na sektory:

‍

Energia

• Wydobywanie kopalin – gaz ziemny, ropa naftowa, węgiel brunatny, węgiel kamienny.
• Energia elektryczna – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją, obrotem energią elektryczną oraz uczestnicy rynku świadczący usługi towarzyszące.
• Ciepło – przedsiębiorstwa zajmujące się wytwarzaniem, obrotem, przesyłaniem i dystrybucją ciepła.
• Ropa i paliwa – przedsiębiorstwa energetyczne zajmujące się wytwarzaniem, przesyłaniem, magazynowaniem, przeładunkiem i obrotem paliwami ciekłymi i syntetycznymi.
• Gaz – przedsiębiorstwa zajmujące się wytwarzaniem, przesyłaniem, dystrybucją, obrotem, magazynowaniem i skraplaniem paliw gazowych.
• Energetyka jądrowa – operatorzy obiektów energetyki jądrowej.
• Wodór – przedsiębiorstwa zajmujące się przesyłaniem, magazynowaniem, wytwarzaniem i dystrybucją wodoru.

‍

Transport

• Transport lotniczy – przewoźnicy lotniczy, zarządzający lotniskami, przedsiębiorcy obsługi naziemnej oraz instytucje zapewniające służby żeglugi powietrznej.
• Transport kolejowy – zarządcy infrastruktury kolejowej i przewoźnicy kolejowi.
• Transport wodny – armatorzy w transporcie morskim i śródlądowym, podmioty zarządzające portami i obiektami portowymi, a także podmioty prowadzące działalność wspomagającą transport morski.
• Transport drogowy – zarządcy dróg oraz podmioty świadczące usługi inteligentnych systemów transportowych (ITS).

‍

Bankowość i infrastruktura rynków finansowych

• Instytucje kredytowe, banki krajowe, oddziały banków zagranicznych, spółdzielcze kasy oszczędnościowo-kredytowe.
• Podmioty prowadzące rynek regulowany, domy maklerskie, administratorzy kluczowych wskaźników referencyjnych.
• Krajowa Izba Rozliczeniowa S.A.

‍

Ochrona zdrowia

• Świadczenia zdrowotne i zdrowie publiczne – podmioty lecznicze, laboratoria referencyjne UE, jednostki organizacyjne publicznej służby krwi, a także podmioty posiadające Szpitalny Oddział Ratunkowy, Centrum Urazowe lub Centrum Urazowe dla Dzieci.
• Produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych – Urząd Rejestracji Produktów Leczniczych, wyroby medyczne o krytycznym znaczeniu, hurtownie farmaceutyczne, importerzy, wytwórcy i dystrybutorzy produktów leczniczych oraz substancji czynnych.

‍

Zaopatrzenie w wodę i gospodarka ściekowa

• Zaopatrzenie w wodę pitną i jej dystrybucja – przedsiębiorstwa wodociągowo-kanalizacyjne (z pewnymi wyłączeniami).
• Zbiorowe odprowadzanie ścieków – przedsiębiorstwa wodociągowo-kanalizacyjne (z pewnymi wyłączeniami).

‍

Infrastruktura cyfrowa

• Dostawcy punktów wymiany ruchu internetowego.
• Dostawcy usług DNS (z wyłączeniem operatorów głównych serwerów nazw).
• Rejestry nazw domen najwyższego poziomu (TLD).
• Dostawcy chmury obliczeniowej, usług centrów przetwarzania danych, sieci dostarczania treści, usług zaufania.
• Podmioty świadczące usługi rejestracji nazw domen.
• Przedsiębiorcy komunikacji elektronicznej.

‍

Zarządzanie usługami ICT

• Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.

‍

Przestrzeń kosmiczna

• Operatorzy infrastruktury naziemnej wspierającej świadczenie usług kosmicznych.
• Polska Agencja Kosmiczna.

‍

Podmioty publiczne

• Jednostki sektora finansów publicznych i obsługujące je urzędy.
• Państwowe instytucje kultury, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Urząd Komisji Nadzoru Finansowego, Polska Agencja Prasowa, Państwowe Gospodarstwo Wodne Wody Polskie, Polski Fundusz Rozwoju i inne instytucje rozwoju, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych, Zakład Unieszkodliwiania Odpadów Promieniotwórczych.
• Wybrane jednostki samorządu województwa, powiatu i gminy.

‍

‍Zarządzanie ryzykiem: Kluczowy obowiązek wynikający z NIS2

‍

Jednym z najważniejszych elementów, na które kładzie nacisk dyrektywa NIS2, jest obowiązek proaktywnego zarządzania ryzykiem. Firmy nie mogą już tylko reagować na incydenty. Muszą aktywnie identyfikować, oceniać i minimalizować potencjalne zagrożenia.

‍

Jakie konkretne kroki musisz podjąć?

‍

• Analiza i ocena ryzyka: Wdrożenie kompleksowych środków technicznych i organizacyjnych, takich jak zarządzanie tożsamością, szyfrowanie danych czy utrzymanie ciągłości działania. Należy regularnie przeprowadzać ocenę ryzyka, aby dostosowywać poziom zabezpieczeń.
• Zarządzanie incydentami: W przypadku istotnego incydentu, firmy muszą zgłosić go do odpowiedniego CSIRT-u lub organu krajowego. Harmonogram zgłoszeń jest bardzo rygorystyczny: wstępne zgłoszenie w ciągu 24 godzin, szczegółowe w ciągu 72 godzin, a raport końcowy w ciągu 1 miesiąca.
• Bezpieczeństwo łańcucha dostaw: NIS2 wymaga monitorowania poziomu zabezpieczeń u dostawców i podwykonawców. Zapewnia to większą odporność na cyberataki, które mogą mieć źródło u partnera biznesowego.

‍

Wymagania i korzyści z wdrożenia dyrektywy NIS2

‍

Dyrektywa NIS2 wprowadza osobistą odpowiedzialność członków kierownictwa za wdrożenie i nadzór nad środkami bezpieczeństwa. Oznacza to, że mogą oni ponosić sankcje osobiste w przypadku niedopełnienia obowiązków. Z tego powodu, szkolenia z zakresu cyberbezpieczeństwa dla kadry zarządzającej są konieczne.

‍

Dostosowanie się do dyrektywy NIS2 to nie tylko obowiązek, ale również szansa na wzmocnienie pozycji rynkowej.

‍

• Większa odporność na cyberataki: Lepsze zabezpieczenia przekładają się na mniejsze ryzyko strat finansowych i wizerunkowych.
• Wzrost zaufania: Posiadanie dowodów zgodności z regulacją może stać się przewagą konkurencyjną, budując zaufanie klientów i partnerów.
• Profesjonalizacja zarządzania: NIS2 zmusza firmy do uporządkowania procedur, co prowadzi do bardziej efektywnego zarządzania ryzykiem.

‍

Terminy wdrożenia NIS2: Co musisz wiedzieć?

‍

Choć dyrektywa NIS2 ustanawia wspólne ramy dla cyberbezpieczeństwa w całej Unii Europejskiej, to jej wdrożenie w Polsce – poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa – uwzględnia lokalne realia i rozszerza zakres obowiązków oraz nadzoru. Projekt ustawy jest obecnie na etapie Komitetu Stałego Rady Ministrów i oczekuje na przekazanie do Sejmu. To dobry moment, by sprawdzić, czy Twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego i czy jest gotowa na nowe obowiązki. Działając proaktywnie, unikniesz potencjalnych kar i zapewnisz ciągłość swojego biznesu.

‍

Umów spotkanie, a przedstawimy Ci jak wdrażamy wymagania UKSC już dziś.

‍

Sprawdź zakres naszych usług, które pomagają firmom takim jak Twoja we wdrożeniach dyrektywy NIS2 czy innych

‍

‍

Artykuł powstał jako część Bazy Wiedzy, która przybliża podstawowe pojęcia z zakresu BCM, cyberbezpieczeństwa, zgodności i zarządzania ryzykiem. Zapraszamy Was do czytania pozostałych części bloga, a przede wszystkim do subskrybcji Newslettera, by otrzymywać dostęp do profesjonalnych materialów i poradników eksperckich i webinarów.

‍

Zapisz się teraz! 

Dołącz do newslettera Forum Ekspertów Odporności Operacyjnej, dzięki czemu będziesz otrzymywać od nas merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.

Imię i Nazwisko *

Służbowy
adres E-mail *

_* - Pole obowiązkowe

Wyrażam zgodę na otrzymywanie od Davidson Consulting i Wspólnicy Sp. z o. o. informacji handlowych i marketingowych dotyczących produktów i usług własnych za pomocą środków komunikacji elektronicznej, w szczególności na podany przeze mnie adres e-mail, zgodnie z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Zgoda obejmuje również używanie w tym celu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w rozumieniu art. 172 ustawy Prawo telekomunikacyjne.

Dziękujemy za zapisanie się na nasz newsletter oraz do Forum Ekspertów Odporności Operacyjnej.

Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

‍