NIS2 w Polsce: jakie obowiązki nakłada na firmy i kogo dotyczy
Dyrektywa NIS2 (Network and Information Security 2) to największa zmiana w europejskim prawie cyberbezpieczeństwa ostatniej dekady. W Polsce transponuje ją nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która w porównaniu z pierwotną dyrektywą NIS dramatycznie rozszerza krąg podmiotów obowiązanych — z kilkuset firm na szacowane tysiące.
Kogo dotyczy NIS2
Dyrektywa rozróżnia dwie kategorie podmiotów według sektora i wielkości:
Podmioty kluczowe (essential) — duże przedsiębiorstwa (250+ pracowników lub obrót powyżej 50 mln €) w sektorach o wysokiej krytyczności: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna i przestrzeń kosmiczna.
Podmioty ważne (important) — średnie przedsiębiorstwa (50+ pracowników lub obrót powyżej 10 mln €) w tych samych sektorach, a także przedsiębiorstwa w pozostałych sektorach krytycznych: usługi pocztowe, gospodarka odpadami, chemia, produkcja żywności, produkcja (elektronika, maszyny, pojazdy, wyroby medyczne), dostawcy usług cyfrowych i badania naukowe.
Małe przedsiębiorstwa co do zasady pozostają poza bezpośrednim zakresem regulacji — ale uwaga na dwa haczyki. Po pierwsze, istnieją wyjątki (na przykład jedyny dostawca usługi krytycznej w regionie). Po drugie, podmioty obowiązane muszą zadbać o bezpieczeństwo łańcucha dostaw — więc jeśli jesteś dostawcą firmy objętej NIS2, jej wymagania bezpieczeństwa trafią do Twojej umowy.
Nie masz pewności? Sprawdź się w 2-minutowym self-checku NIS2.
Główne obowiązki
- Środki zarządzania ryzykiem cyberbezpieczeństwa — analiza ryzyka, polityki bezpieczeństwa, zarządzanie dostępem, szyfrowanie, kopie zapasowe, zarządzanie podatnościami i bezpieczeństwo łańcucha dostaw.
- Zgłaszanie incydentów — poważny incydent trzeba zgłosić jako wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, a szczegółowe zgłoszenie przekazać w ciągu 72 godzin. W ciągu miesiąca następuje raport końcowy.
- Odpowiedzialność kierownictwa — zarząd zatwierdza środki bezpieczeństwa, przechodzi szkolenia i ponosi osobistą odpowiedzialność za naruszenia. To nowość, która czyni z cyberbezpieczeństwa temat na poziomie zarządu.
- Rejestracja — podmioty obowiązane muszą zarejestrować się zgodnie z wymogami znowelizowanej ustawy o KSC.
Kary
Dla podmiotów kluczowych do 10 milionów € lub 2 % światowego obrotu, dla podmiotów ważnych do 7 milionów € lub 1,4 % obrotu. Oprócz kar finansowych grozi także zawieszenie certyfikacji czy czasowy zakaz pełnienia funkcji kierowniczych.
Jak się przygotować: ISO 27001 jako fundament
NIS2 nie narzuca konkretnych ram, ale jej wymagania niemal idealnie pokrywają się z normą ISO/IEC 27001 — systemem zarządzania bezpieczeństwem informacji (ISMS). Polityki, analiza ryzyka, zarządzanie incydentami, łańcuch dostaw, szkolenia — to wszystko obowiązkowe elementy ISMS. Firma z działającym ISO 27001 ma odrobioną znaczną część pracy domowej z NIS2, a certyfikat stanowi mocny dowód należytej staranności wobec regulatora.
Pierwszym krokiem jest dokumentacja: polityka bezpieczeństwa informacji, analiza ryzyka, plan zarządzania incydentami i pozostałe obowiązkowe dokumenty. Właśnie tutaj ISOForge potrafi zaoszczędzić miesiące pracy — wygeneruje gotową do audytu dokumentację dopasowaną do Twojej firmy, w języku polskim, i pomoże ją utrzymywać także po certyfikacji: rejestr ryzyk, ewidencję incydentów z terminami NIS2, rejestr dostawców oraz kalendarz zgodności.
Podsumowanie
- NIS2 dotyczy średnich i dużych firm w 18 sektorach — sprawdź, czy jesteś objęty regulacją.
- Kluczowe terminy: 24 h wczesne ostrzeżenie, 72 h zgłoszenie incydentu.
- Kierownictwo ponosi osobistą odpowiedzialność.
- ISO 27001 to najprostsza droga do zgodności — zacznij od dokumentacji.