Dyrektywa NIS 2 – Kluczowe aspekty dla Twojej organizacji.
Ostatnie lata obfitują w regulacje unijne zmierzające do zapewnienia cyberbezpieczeństwa. Jedną z nich jest Dyrektywa NIS 2, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii […].
Państwa członkowskie UE mają czas do 17 października 2024 r. na wdrożenie przepisów Dyrektywy NIS2 do krajowych porządków prawnych, choć już wiemy, że w przypadku Polski terminu nie uda się dochować.
Nie oznacza to jednak, że możemy ignorować nowe regulacje, gdyż kary związane z brakiem stosowania Dyrektywy NIS 2 mogą okazać się bardzo kosztowne.
Co jednak wynika z unijnych przepisów i jakie obowiązki nakładają one na polskich przedsiębiorców? Założenia Dyrektywy NIS 2 to przede wszystkim:
- nałożenie na podmioty zobowiązane większych niż dotychczas wymagań w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach,
- obowiązek testowania poziomu cyberbezpieczeństwa oraz efektywnego wykorzystywania szyfrowania,
- sprecyzowanie zasad dotyczących raportowania incydentów naruszenia cyberbezpieczeństwa,
- mechanizmy współpracy międzynarodowej w zakresie cyberbezpieczeństwa.
Kogo zatem dotyczą wzmożone obowiązki zapewnienia cyberbezpieczeństwa w przedsiębiorstwie?
Dyrektywa NIS 2 poszerza grono podmiotów, które są zobowiązane stosować jej przepisy w porównaniu do wcześniejszej Dyrektywy NIS. Teraz podmioty zobowiązane zostały podzielone na dwie kategorie: podmioty kluczowe i istotne.
Najogólniej rzecz ujmując, nowe przepisy należy stosować do:
- podmiotów o rocznym obrocie powyżej 10 mln EUR i zatrudniające powyżej 50 pracowników,
- podmiotów kluczowych, nawet jeśli nie spełniają kryterium wielkościowego. W szczególności są to podmioty z sektorów:
- energetyki,
- opieki zdrowotnej,
- finansów,
- infrastruktury cyfrowej,
- podmiotów działających w konkretnych sektorach uznanych przez UE jako istotne, w szczególności:
- branży żywności,
- gospodarki odpadami,
- produkcji wyrobów medycznych,
- dostawców usług cyfrowych.
Identyfikacja podmiotów, które są zobowiązane do stosowania nowych regulacji może przysporzyć trudności, dlatego rekomendujemy przeprowadzenie wstępnego audytu, którego wynik zdeterminuje, czy dany przedsiębiorca powinien wdrożyć odpowiednie mechanizmy bezpieczeństwa cyfrowego. Dzięki profesjonalnej ocenie będziesz mógł świadomie podejść do zmian i zyskać pewność, że Twoja firma jest gotowa na nowe obowiązki.
Jeśli chcesz dowiedzieć się więcej i skorzystać z naszej pomocy, serdecznie zapraszamy do kontaktu!
Autorzy