Dyrektywa NIS2 jest w tej kwestii ogólnikowa. Mówi, że incydent uznaje się za poważny, jeżeli spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu oraz wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. KE opracowała zaś szczegółowe kryteria uznania incydentu za poważny. Będzie to m.in. incydent, który spowodował lub może spowodować bezpośrednią stratę finansową dla podmiotu właściwego przekraczającą 500 tys. euro lub 5 proc. rocznych przychodów (liczy się kwota niższa), oznaczający ryzyko śmierci lub znacznej szkody dla zdrowia czy też ujawnienie tajemnic handlowych. Może też chodzić o udany złośliwy i nieautoryzowany dostęp do sieci i systemów informatycznych, który może spowodować poważne zakłócenia operacyjne.

Ponadto w odniesieniu do poszczególnych rodzajów podmiotów podlegających przepisom NIS2 KE przedstawiła specyficzne kryteria. Na przykład w przypadku dostawców usług centrów danych incydent będzie poważny m.in. w razie całkowitej niedostępności usługi lub ograniczenia jej dostępności przez czas dłuższy niż jedna godzina.

Rozporządzenie wykonawcze wejdzie w życie po 20 dniach od publikacji. Będzie miało zastosowanie do określonych kategorii przedsiębiorstw świadczących usługi cyfrowe, takich jak m.in. dostawcy usług w chmurze, centra danych, internetowe platformy handlowe, wyszukiwarki internetowe i platformy społecznościowe. Jeden z nałożonych obowiązków dotyczy raportowania. Incydenty należy zgłaszać w ciągu 24 godzin od powzięcia o nich wiedzy (wczesne ostrzeżenie) i następnie w ciągu 72 godzin (w stosownych przypadkach z aktualizacją informacji i ze wskazaniem wstępnej oceny).

Przepisy NIS2 powinny być stosowane w państwach członkowskich od ostatniego piątku (18 października). Jednak Polska nie dokonała jeszcze ich implementacji. Ma się to odbyć w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.). Przygotowany przez resort cyfryzacji projekt nie trafił jeszcze do Sejmu – jest obecnie na etapie rozpatrywania przez Komitet ds. Europejskich. Nowela budzi wiele kontrowersji, gdyż oprócz rozwiązań wynikających z NIS2 wdraża tzw. toolbox, czyli przyjęte w UE narzędzia oceny ryzyka dostawców sprzętu do sieci 5G i ograniczeń wobec firm uznanych za dostawców wysokiego ryzyka (HRV).©℗