Rozdziały 08 Obowiązuje od: 18 października 2024

Dyrektywa NIS2

Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych

Przegląd

NIS2 zastępuje i znacznie rozszerza pierwotną dyrektywę NIS, ustanawiając wysoki wspólny poziom cyberbezpieczeństwa w całej UE. Ma zastosowanie do znacznie szerszego zakresu sektorów i podmiotów, wprowadza surowsze środki nadzorcze oraz harmonizuje sankcje w państwach członkowskich.[1]

Jako dyrektywa, NIS2 wymagała implementacji do prawa krajowego do 17 października 2024 r. Wdrożenie różni się w zależności od państwa członkowskiego.

Zakres: Podmioty kluczowe vs ważne

Podmioty kluczowe (większy nadzór)[2]

SektorPrzykłady
EnergiaEnergia elektryczna, ropa, gaz, wodór, ciepłownictwo
TransportLotniczy, kolejowy, wodny, drogowy
BankowośćInstytucje kredytowe
Rynki finansoweMiejsca obrotu, centralne kontrahenty
ZdrowieDostawcy opieki zdrowotnej, laboratoria, farmaceutyka, urządzenia medyczne
Woda pitnaDostawcy wody
ŚciekiOczyszczanie ścieków
Infrastruktura cyfrowaIXP, DNS, rejestry TLD, chmura, centra danych, CDN, TSP
Zarządzanie usługami ICTDostawcy usług zarządzanych, dostawcy zarządzanych usług bezpieczeństwa
Administracja publicznaPodmioty rządu centralnego
Przestrzeń kosmicznaOperatorzy infrastruktury naziemnej

Podmioty ważne (lżejszy nadzór)

SektorPrzykłady
Usługi pocztoweUsługi pocztowe i kurierskie
Gospodarka odpadamiZbieranie i przetwarzanie odpadów
ChemikaliaProdukcja i dystrybucja
ŻywnośćProdukcja i dystrybucja
PrzemysłUrządzenia medyczne, elektronika, maszyny, pojazdy
Dostawcy cyfrowiPlatformy handlu elektronicznego, wyszukiwarki, sieci społecznościowe
BadaniaOrganizacje badawcze

Progi wielkości

NIS2 ma zazwyczaj zastosowanie do podmiotów średnich i dużych:

  • Średnie: 50+ pracowników LUB obrót/bilans powyżej 10 mln €
  • Duże: 250+ pracowników LUB obrót powyżej 50 mln € LUB bilans powyżej 43 mln €

Niektóre podmioty mają zastosowanie niezależnie od wielkości (DNS, rejestry TLD, dostawcy chmury, centra danych itp.).

Kluczowe wymagania

Środki zarządzania ryzykiem (artykuł 21)[3]

Podmioty muszą wdrożyć odpowiednie środki techniczne, operacyjne i organizacyjne:

  1. Polityki: Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych
  2. Obsługa incydentów: Procedury wykrywania, reagowania i odzyskiwania
  3. Kontynuacja działalności: Kopie zapasowe, odzyskiwanie po awarii, zarządzanie kryzysowe
  4. Bezpieczeństwo łańcucha dostaw: Wymagania bezpieczeństwa dla dostawców
  5. Bezpieczeństwo sieci: Bezpieczeństwo nabywania, rozwoju i utrzymania
  6. Ocena skuteczności: Polityki oceny skuteczności środków bezpieczeństwa
  7. Podstawowa higiena cybernetyczna: Szkolenia i programy świadomości
  8. Kryptografia: Polityki dotyczące kontroli kryptograficznych i szyfrowania
  9. Zasoby ludzkie: Bezpieczeństwo personelu i kontrola dostępu
  10. Uwierzytelnianie wieloskładnikowe: MFA i bezpieczne systemy komunikacji

Raportowanie incydentów (artykuł 23)[4]

TerminWymóg
24 godzinyWczesne ostrzeżenie do CSIRT/kompetentnego organu
72 godzinyZgłoszenie incydentu z wstępną oceną
1 miesiącRaport końcowy z przyczyną i działaniami naprawczymi

Znaczące incydenty muszą być zgłaszane, jeśli powodują lub mogą powodować poważne zakłócenia operacyjne lub straty finansowe, lub wpływają na inne osoby fizyczne lub prawne.

Odpowiedzialność zarządu

Organy zarządzające muszą:

  • Zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa
  • Nadzorować wdrażanie środków bezpieczeństwa
  • Być osobiście odpowiedzialne za nieprzestrzeganie przepisów
  • Przejść szkolenia z zakresu cyberbezpieczeństwa

Sankcje

  • Podmioty kluczowe: Do 10 milionów euro lub 2% światowego obrotu
  • Podmioty ważne: Do 7 milionów euro lub 1,4% światowego obrotu[5]

Państwa członkowskie mogą nałożyć dodatkowe sankcje, w tym tymczasowe zakazy pełnienia funkcji zarządczych.

Obowiązki deweloperów i dostawców usług ICT

Jeśli świadczysz usługi lub produkty ICT:

  1. Dostawcy usług zarządzanych: Bezpośrednio w zakresie jako podmioty kluczowe
  2. Dostawcy chmury: Bezpośrednio w zakresie jako podmioty kluczowe
  3. Deweloperzy oprogramowania: Obowiązki w łańcuchu dostaw wobec podmiotów-klientów
  4. Dostawcy rozwiązań bezpieczeństwa: Mogą być wyznaczeni jako podmioty ważne

Źródła i odniesienia

[1]
Dyrektywa (UE) 2022/2555 w sprawie wysokiego wspólnego poziomu cyberbezpieczeństwa. EUR-Lex: Oficjalny tekst NIS2
[2]
Załączniki I i II do NIS2: sektory podmiotów kluczowych i ważnych. NIS2-Directive.com: Sektory
[3]
Artykuł 21 NIS2: środki zarządzania ryzykiem cyberbezpieczeństwa. NIS2-Directive.com: Artykuł 21
[4]
Artykuł 23 NIS2: obowiązki raportowania incydentów. NIS2-Directive.com: Artykuł 23
[5]
Artykuł 34 NIS2: kary administracyjne. NIS2-Directive.com: Artykuł 34