Wypróbuj za darmo

NIS2 w Polsce: jakie obowiązki nakłada na firmy i kogo dotyczy

Dyrektywa NIS2 (Network and Information Security 2) to największa zmiana w europejskim prawie cyberbezpieczeństwa ostatniej dekady. W Polsce transponuje ją nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która w porównaniu z pierwotną dyrektywą NIS dramatycznie rozszerza krąg podmiotów obowiązanych — z kilkuset firm na szacowane tysiące.

Kogo dotyczy NIS2

Dyrektywa rozróżnia dwie kategorie podmiotów według sektora i wielkości:

Podmioty kluczowe (essential) — duże przedsiębiorstwa (250+ pracowników lub obrót powyżej 50 mln €) w sektorach o wysokiej krytyczności: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna i przestrzeń kosmiczna.

Podmioty ważne (important) — średnie przedsiębiorstwa (50+ pracowników lub obrót powyżej 10 mln €) w tych samych sektorach, a także przedsiębiorstwa w pozostałych sektorach krytycznych: usługi pocztowe, gospodarka odpadami, chemia, produkcja żywności, produkcja (elektronika, maszyny, pojazdy, wyroby medyczne), dostawcy usług cyfrowych i badania naukowe.

Małe przedsiębiorstwa co do zasady pozostają poza bezpośrednim zakresem regulacji — ale uwaga na dwa haczyki. Po pierwsze, istnieją wyjątki (na przykład jedyny dostawca usługi krytycznej w regionie). Po drugie, podmioty obowiązane muszą zadbać o bezpieczeństwo łańcucha dostaw — więc jeśli jesteś dostawcą firmy objętej NIS2, jej wymagania bezpieczeństwa trafią do Twojej umowy.

Nie masz pewności? Sprawdź się w 2-minutowym self-checku NIS2.

Główne obowiązki

  1. Środki zarządzania ryzykiem cyberbezpieczeństwa — analiza ryzyka, polityki bezpieczeństwa, zarządzanie dostępem, szyfrowanie, kopie zapasowe, zarządzanie podatnościami i bezpieczeństwo łańcucha dostaw.
  2. Zgłaszanie incydentów — poważny incydent trzeba zgłosić jako wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, a szczegółowe zgłoszenie przekazać w ciągu 72 godzin. W ciągu miesiąca następuje raport końcowy.
  3. Odpowiedzialność kierownictwa — zarząd zatwierdza środki bezpieczeństwa, przechodzi szkolenia i ponosi osobistą odpowiedzialność za naruszenia. To nowość, która czyni z cyberbezpieczeństwa temat na poziomie zarządu.
  4. Rejestracja — podmioty obowiązane muszą zarejestrować się zgodnie z wymogami znowelizowanej ustawy o KSC.

Kary

Dla podmiotów kluczowych do 10 milionów € lub 2 % światowego obrotu, dla podmiotów ważnych do 7 milionów € lub 1,4 % obrotu. Oprócz kar finansowych grozi także zawieszenie certyfikacji czy czasowy zakaz pełnienia funkcji kierowniczych.

Jak się przygotować: ISO 27001 jako fundament

NIS2 nie narzuca konkretnych ram, ale jej wymagania niemal idealnie pokrywają się z normą ISO/IEC 27001 — systemem zarządzania bezpieczeństwem informacji (ISMS). Polityki, analiza ryzyka, zarządzanie incydentami, łańcuch dostaw, szkolenia — to wszystko obowiązkowe elementy ISMS. Firma z działającym ISO 27001 ma odrobioną znaczną część pracy domowej z NIS2, a certyfikat stanowi mocny dowód należytej staranności wobec regulatora.

Pierwszym krokiem jest dokumentacja: polityka bezpieczeństwa informacji, analiza ryzyka, plan zarządzania incydentami i pozostałe obowiązkowe dokumenty. Właśnie tutaj ISOForge potrafi zaoszczędzić miesiące pracy — wygeneruje gotową do audytu dokumentację dopasowaną do Twojej firmy, w języku polskim, i pomoże ją utrzymywać także po certyfikacji: rejestr ryzyk, ewidencję incydentów z terminami NIS2, rejestr dostawców oraz kalendarz zgodności.

Podsumowanie

Potrzebujesz dokumentacji ISO?

ISOForge generuje gotową do audytu dokumentację dopasowaną do Twojej firmy — po polsku, za ułamek ceny konsultanta.

Dowiedz się więcej