Definicja NIS2
NIS2 to dyrektywa UE 2022/2555, która zastępuje NIS1 i tworzy jednolite ramy cyberbezpieczeństwa dla państw członkowskich. Dyrektywa rozszerza zakres podmiotów, zwiększa wymagania zarządzania ryzykiem oraz wprowadza ostrzejsze zasady raportowania incydentów.
Zakres podmiotowy
Dyrektywa dzieli organizacje na:
- Essential entities – podmioty z sektorów krytycznych przekraczające próg średniego przedsiębiorstwa.
- Important entities – pozostałe średnie i duże firmy z branż wskazanych w załączniku II.
Małe firmy są objęte jedynie w wyjątkowych przypadkach wysokiego ryzyka.
Kluczowe wymagania
- Zarządzanie ryzykiem – polityki, procedury i kontrole techniczne adekwatne do zagrożeń.
- Raportowanie incydentów – wstępne zgłoszenie do CSIRT oraz organów w ciągu 24 godzin, raport szczegółowy w ciągu 72 godzin oraz końcowy raport w ciągu 30 dni.
- Łańcuch dostaw – ocena i monitorowanie ryzyka u dostawców.
- Nadzór zarządu – kierownictwo (CISO) odpowiada za zgodność, może ponosić osobistą odpowiedzialność.
- Szkolenia i świadomość – obowiązek ciągłego doskonalenia kompetencji pracowników.
Terminy i kary
- Termin transpozycji przez państwa członkowskie do 17 października 2024.
- Lista podmiotów zgodnie z dyrektywą musi być gotowa do 17 kwietnia 2025.
- Kary: do 10 mln € lub 2% obrotu dla essential entities oraz do 7 mln € lub 1,4% obrotu dla important entities.
Sektory objęte
| Kategoria | Przykładowe sektory |
|---|---|
| Krytyczne (Annex I) | energia, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa |
| Ważne (Annex II) | produkcja, poczta, gospodarka odpadami, administracja publiczna, przestrzeń kosmiczna |
W sumie dyrektywa obejmuje 18 sektorów gospodarki.
Krajowy system cyberbezpieczeństwa w Polsce
W Polsce wdrożenie dyrektywy NIS2 opiera się na istniejącym już krajowym systemie cyberbezpieczeństwa, ustanowionym ustawą z 5 lipca 2018 r. System ten tworzy ramy dla implementacji wymagań NIS2 i zapewnia koordynację działań na poziomie krajowym.
Kluczowe elementy polskiego systemu cyberbezpieczeństwa obejmują:
- Zespoły CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV, CSIRT MON)
- Organy właściwe ds. cyberbezpieczeństwa dla poszczególnych sektorów
- Pojedynczy Punkt Kontaktowy (PPK) przy Ministrze Cyfryzacji
- System automatycznego zgłaszania i obsługi incydentów
- Sektorowe zespoły cyberbezpieczeństwa (opcjonalne)
Organy właściwe w Polsce
Odpowiedzialność za nadzór nad operatorami usług kluczowych została podzielona między różne ministerstwa:
- Minister ds. energii i gospodarki wodnej - sektor energii i gospodarki wodnej
- Minister ds. transportu - sektor transportu (w tym transport wodny)
- Komisja Nadzoru Finansowego - sektor bankowy i infrastruktury rynków finansowych
- Minister ds. zdrowia - sektor ochrony zdrowia
- Minister ds. informatyzacji - sektor infrastruktury cyfrowej
- Minister obrony narodowej - podmioty podległe MON w sektorach zdrowia i infrastruktury cyfrowej
Wyzwania wdrożenia
- Wzmożony napływ zgłoszeń i raportów w krótkim czasie.
- Konieczność zaangażowania zarządu i dodatkowych szkoleń.
- Integracja wymagań NIS2 z innymi regulacjami, jak DORA czy GPDR.
- Trudności w transpozycji przepisów we wszystkich państwach w terminie.
- Wysokie koszty wdrożenia i brak wykwalifikowanych specjalistów ds. cyberbezpieczeństwa.
Dobre praktyki dla organizacji
- Przeprowadzenie analizy luki (gap analysis) w porównaniu z istniejącymi procedurami.
- Aktualizacja planu reakcji na incydenty z respektowaniem nowych terminów raportowania.
- Regularne przeglądy ryzyka z udziałem zarządu oraz testy odporności.
- Wymaganie od dostawców potwierdzenia zgodności z wymaganiami NIS2.