Dyrektywa NIS2, która zastępuje wcześniejszą dyrektywę NIS, ma na celu zwiększenie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Nowe przepisy, które będą wprowadzane do polskiego prawa poprzez zmianę ustawy o krajowym systemie cyberbezpieczeństwa, obejmą wszystkie średnie i duże przedsiębiorstwa działające w sektorach lub świadczące usługi wymienione w dyrektywie.
Sektory kluczowe i ważne
Do kluczowych sektorów należą m.in.: energia, transport, zdrowie, usługi finansowe, zaopatrzenie w wodę, infrastruktura cyfrowa i administracja publiczna.
Do sektorów ważnych, których również dotyczą przepisy dyrektywy, należy m.in. produkcja żywności i napojów, produkcja przemysłowa (w tym produkcja maszyn, urządzeń, pojazdów, elektroniki, wyrobów metalowych, produktów chemicznych i innych surowców oraz towarów przemysłowych), przemysł farmaceutyczny, gospodarowanie odpadami, produkcja i dostawa substancji chemicznych, poczta i usługi kurierskie, usługi cyfrowe.
Kogo obejmą nowe przepisy?
Dyrektywa NIS2 obejmuje (przy ustalaniu wielkości przedsiębiorstwa należy brać pod uwagę podmioty partnerskie i powiązane, podobnie jak np. przy pomocy publicznej):
• Kluczowe podmioty (Essential Entities – EE): przedsiębiorstwa zatrudniające co najmniej 250 pracowników, o rocznym obrocie wynoszącym 50 mln EUR lub więcej, lub bilansie przekraczającym 43 mln EUR.
• Ważne podmioty (Important Entities – IE): przedsiębiorstwa zatrudniające co najmniej 50 pracowników, o rocznym obrocie wynoszącym 10 mln EUR lub więcej, lub bilansie wynoszącym 10 mln EUR.
Obowiązki podmiotów objętych NIS2
Podmioty objęte dyrektywą będą zobowiązane do wdrożenia szeregu środków bezpieczeństwa, w tym:
1. Zarządzanie ryzykiem cybernetycznym, w tym polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych.
2. Obsługa incydentów, w tym zarządzanie planami reagowania i uczenie się na podstawie incydentów.
3. Zapewnienie ciągłości działania, w tym zarządzanie kopią zapasową i odzyskiwaniem danych.
4. Bezpieczeństwo łańcucha dostaw, w tym zarządzanie relacjami z dostawcami.
5. Polityki kryptograficzne i szyfrowanie.
Sankcje za niedopełnienie obowiązków
Za naruszenie przepisów NIS2 przewidziane są surowe sankcje administracyjne, które mogą obejmować:
• Grzywny, podobne do tych przewidzianych w RODO.
• Tymczasowy zakaz pełnienia funkcji zarządczych dla członków organów zarządzających,
• Inne sankcje administracyjne zgodne z krajowymi przepisami wdrażającymi dyrektywę.
Wszystkie państwa członkowskie UE muszą wprowadzić te przepisy do swojego prawa krajowego do 17 października 2024 roku. Projekt ustawy zmieniającej jest obecnie procedowany w Sejmie.
