Blog

Dyrektywa NIS2 – czym jest i kogo dotyczy? Najważniejsze informacje

5 maja 2024

Dyrektywa NIS2 zmieniająca rozporządzenie pierwotne dyrektywy NIS to dokument stworzony na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa NIS2 zobowiązuje państwa członkowskie do wdrożenia przepisów mających na celu ochronę krytycznej infrastruktury cyfrowej.

Dyrektywa NIS2 – co to jest?

Dyrektywa NIS2 stanowi rozwinięcie dyrektywy NIS odpowiadającej za utrzymanie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej.

Dyrektywa NIS 2 wprowadza rygorystyczne wymogi z zakresu cyberbezpieczeństwa dotyczące zarządzania ryzykiem oraz bezpieczeństwa sieci i systemów informatycznych. Rozporządzenie nakłada na operatorów usług kluczowych i dostawców usług cyfrowych konieczność prowadzenia dokładnych analiz potencjalnych zagrożeń oraz stosowania odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. Wymagania te dotyczą zarówno kwestii technicznych, jak i organizacyjnych.

Kiedy dyrektywa NIS2 wchodzi w życie?

Dyrektywa NIS2 została uchwalona 14 grudnia 2022 r., a jej wejście w życie nastąpiło z dniem 17 stycznia 2023 r. Ma na celu wzmocnienie ochrony krytycznej infrastruktury cyfrowej oraz zapewnienie wysokiego poziomu cyberbezpieczeństwa w państwach członkowskich. Głównym zadaniem jest zwiększenie zdolności reagowania na incydenty cybernetyczne przez podmioty kluczowe i ważne działające w sektorach najbardziej narażonych na ataki cybernetyczne oraz minimalizowanie potencjalnych skutków ataków, które mogłyby wpłynąć na funkcjonowanie najważniejszych sektorów gospodarki i życia publicznego.

W ramach dyrektywy NIS2 podmioty są zobowiązane do wprowadzenia środków na rzecz wysokiego poziomu cyberbezpieczeństwa obejmujących zarówno mechanizmy zarządzania ryzykiem, jak i procedury zgłaszania incydentów cyberbezpieczeństwa.

Kiedy upływa termin implementacji nowych wymagań według NIS2?

Implementacja dyrektywy NIS2 znacząco przekształca podejście do zarządzania ryzykiem. Nowe wymagania trzeba będzie spełnić do połowy października 2024 r.

Dyrektywa zobowiązuje państwa członkowskie do wdrożenia szeregu zmian w krajowym systemie cyberbezpieczeństwa oraz wyznaczenia odpowiednich organów do nadzoru nad jej wdrażaniem. Wprowadzenie przepisów dyrektywy NIS2 na poziomie krajowym stanowi wyzwanie dla państw członkowskich, które muszą dostosować swoje krajowe systemy cyberbezpieczeństwa do nowych wymagań. Może to oznaczać konieczność wprowadzenia zmian legislacyjnych oraz wzmocnienia zasobów ludzkich i technicznych w obszarze cyberbezpieczeństwa.

Kogo dotyczy dyrektywa NIS2?

Dyrektywa NIS2 ma na celu zapewnienie ochrony krytycznej infrastruktury cyfrowej. Szereg nowych regulacji obejmuje podmioty kluczowe i ważne prowadzące działalność w sektorach o szczególnym znaczeniu dla bezpieczeństwa narodowego i gospodarczego.

Podmioty kluczowe to organizacje zatrudniające co najmniej 250 osób o sumie bilansowej rocznych obrotów min. 50 mln euro, działające w następujących sektorach:

  • energetyka,
  • transport,
  • bankowość,
  • infrastruktura rynków finansowych,
  • opieka zdrowotna,
  • sektor wody pitnej,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • administracja publiczna,
  • przestrzeń kosmiczna.

Podmioty ważne to organizacje zatrudniające co najmniej 50 osób o sumie bilansowej obrotów rocznych min. 10 mln euro, działające w następujących sektorach:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, przetwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja (w szerokim znaczeniu),
  • usługi cyfrowe,
  • badania naukowe.

Dyrektywa NIS2 – co zmienia?

Dyrektywa NIS2  dotyczy nie tylko technicznych aspektów bezpieczeństwa, ale również wymaga od organizacji zwiększenia świadomości i szkolenia personelu w zakresie potencjalnych zagrożeń cybernetycznych.

Środki bezpieczeństwa wymagane przez NIS2:

  • Ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe.
  • Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnienie.
  • Szkolenia w zakresie cyberbezpieczeństwa.
  • Procedury stosowania kryptografii i w stosownych przypadkach szyfrowania.
  • Bezpieczeństwo zasobów ludzkich i zarządzanie aktywami.
  • Stosowanie uwierzytelnienia wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmioty w sytuacjach nadzwyczajnych.

Implementacja Dyrektywy NIS2 stawia przed podmiotami kluczowymi nowe obowiązki w zakresie zarządzania incydentami. Zarządzanie incydentami zgodne z NIS2 wymaga od organizacji gotowości na szybką identyfikację, raportowanie oraz reagowanie na incydenty cybernetyczne.

Pomożemy Ci wdrożyć Dyrektywę NIS2

Zarządzanie zasobami IT, monitoring bezpieczeństwa, service desk, polityki bezpieczeństwa, szkolenia
Porozmawiajmy

Zgłaszanie incydentów

Jednym z najważniejszych obowiązków na tle regulacji NIS2 jest obowiązek zgłaszania incydentów w zakresie cyberbezpieczeństwa bez zbędnej zwłoki do CERT.

Kryteria jakie musi spełnić incydent, aby powstał obowiązek jego zgłoszenia do CERT

  • Spowodował lub może spowodować dotkliwe zakłócenia usług lub straty finansowe dla danego podmiotu
  • Wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Proces zgłaszania incydentów:

  1. Zgłosić wstępne ostrzeżenie, w którym wskazuje się, czy poważny incydent został wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie.
  2. Ostateczne zgłoszeni incydentu bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie.
  3. Inny termin obowiązuje jedynie dostawców usług zaufania, ponieważ ostatecznego zgłoszenia incydentu muszą oni dokonać bez zbędnej zwłoki, a w każdy razie w ciągu 24 godzin od powzięcia informacji o takim poważnym incydencie.

Jakie są kary za niedostosowanie się do przepisów NIS2?

Niedostosowanie się do przepisów dyrektywy NIS2 może skutkować różnymi sankcjami. Jednym z najważniejszych narzędzi egzekwowania NIS 2 są kary finansowe. Kary za uchylanie się od spełnienia obowiązków wynoszą do 10 mln euro lub 2% łącznego światowego obrotu dla podmiotów kluczowych oraz do 7 mln euro, lub 1,4% łącznego światowego obrotu w poprzednim roku dla podmiotów ważnych.

Jakie polityki bezpieczeństwa będą konieczne?

  • Polityka zarządzania ryzykiem – odnosząca się do identyfikacji, analizy, oceny i minimalizacji ryzyka związanego z cyberbezpieczeństwem
  • Polityka obsługi incydentu – służyć będzie prawidłowej obsłudze incydentu i obejmować będzie fazy wykrycia, reakcji, raportu, wniosków i działań następczych. Jej elementem będzie część dot. Zgłaszana incydentów do odpowiednich organów.
  • Polityka bezpieczeństwa łańcucha dostaw – odnosić się będzie do wymogów stawianych podmiotom zewnętrznym przy współpracy
  • Polityka cyberhigieny – służyć będzie wdrożeniu i przestrzegani ogólnych zasad dotyczących cyberbezpieczeństwa – powinna być przewodnikiem dla pracowników.
  • Polityka kontroli dostępu – regulować będzie kwestie związane z dostępem fizycznym i logicznym

Jakie działania musi podjąć Twoja firma w związku NIS2?

Operatorzy usług kluczowych i ważnych muszą podjąć odpowiednie działania mające na celu spełnienie wymagań dyrektywy NIS2. Aby zadbać o wzrost poziomu cyberbezpieczeństwa, konieczne jest przeprowadzenie audytu obecnych środków zabezpieczających oraz opracowanie nowego planu zarządzania ryzykiem, zgodnego z wdrażanymi normami. Skutecznym wsparciem są również profesjonalne systemy przeznaczone do stałej kontroli i monitoringu całej infrastruktury IT w organizacji.

Monitorowanie infrastruktury IT sposobem na spełnienie wymogów dyrektywy NIS2

OXARI Asset Management zapewnia sprawną ewidencję sprzętu i oprogramowania oraz bezpieczne przechowywanie danych, a także umożliwia tworzenie i zarządzanie polityką NIS2. Szybka identyfikacja problemów pozwala błyskawicznie reagować na pojawiające się incydenty bezpieczeństwa. Implementacja systemu pomaga operatorom usług kluczowych zapewnić najwyższy poziom bezpieczeństwa cybernetycznego w organizacji.

Sprawdź inne wpisy

5 najczęstszych problemów z ServiceDesk i jak je rozwiązać?

5 najczęstszych problemów z ServiceDesk i jak je rozwiązać?

Poznaj najczęstsze problemy z ServiceDesk i dowiedz się, jak je rozwiązać. Zadbaj o skuteczność, automatyzację i lepszą komunikację zespołu IT.
2025-11-12
więcej Arror right
Jak zbudować CMDB, która pomaga w zarządzaniu incydentami i zmianami?

Jak zbudować CMDB, która pomaga w zarządzaniu incydentami i zmianami?

Poznaj skuteczne sposoby zarządzanie incydentami i zmianami w firmie dzięki CMDB. Zbuduj stabilne środowisko IT – sprawdź, jak robi to OXARI!
2025-10-21
więcej Arror right
Czym jest automatyzacja procesów biznesowych?

Czym jest automatyzacja procesów biznesowych?

Jednym z najważniejszych wyzwań współczesnych przedsiębiorstw jest ciągła optymalizacja działań. Firmy dążą do skrócenia czasu realizacji zadań, eliminacji błędów oraz zwiększenia efektywności pracy.
2025-10-03
więcej Arror right

Jesteś zainteresowany?

Porozmawiajmy i sprawdźmy, co możemy razem stworzyć
Porozmawiajmy
Oxari
Infonet Projekt SA
ul. Bystrzańska 94
43-300 Bielsko-Biała
+48 33 497 84 54
[email protected]
Infonet Projekt SA
ul. Bakalarska 34
02-212 Warszawa
+48 22 841 00 88
[email protected]
Copyright © 2025 Infonet Projekt SA
Odkryj nowy standard systemów ITSM