Subskrybuj nas na Youtube
Spółki działające w sektorach o znaczeniu krytycznym, tj. energetyce, transporcie, opiece zdrowotnej czy na rynkach finansowych, a także w sektorach istotnych, tj. produkcji chemikaliów, żywności czy gospodarce odpadami, muszą wdrożyć środki zarządzania ryzykiem w zakresie cyberbezpieczeństwa oraz zapewnić odpowiednią sprawozdawczość. Te obowiązki wynikają z dyrektywy NIS2, której regulacje miały zostać transponowane do polskiego prawa do 18 października 2024 r. Jednak wciąż trwają prace nad nimi.
Takie opóźnienie nie jest jednak problemem wyłącznie polskiej administracji – większość krajów Unii Europejskiej nie przedstawiła jeszcze oficjalnych tekstów implementujących NIS2, a część z tych, które to zrobiły, nie wdrożyły jej w pełni. Regulacjami NIS2 zostaną objęte średnie przedsiębiorstwa z sektorów: publicznego i prywatnego w UE, a także podmioty, które nie były objęte pierwszą wersją dyrektywy (NIS1). Szacuje się, że dyrektywa NIS2 będzie dotyczyła kilkanaście tysięcy podmiotów w Polsce z różnych sektorów, w tym m.in. firmy pocztowe i kurierskie, wodociągowo-kanalizacyjne oraz apteki.
Kluczowe obowiązki dla polskich przedsiębiorstw są następujące:
1) opracowanie strategii zarządzania ryzykiem – ma ona obejmować zarówno ochronę przed zagrożeniami, jak i zdolność do szybkiego reagowania na incydenty.
2) wdrożenie skutecznych mechanizmów zarządzania ryzykiem – oznacza to konieczność przeprowadzenia audytów bezpieczeństwa oraz wdrożenie narzędzi do monitorowania sieci i zgłaszania incydentów.
3) zgłaszanie incydentów dotyczących cyberbezpieczeństwa – raportowanie zdarzeń do odpowiednich organów w określonych ramach czasowych (jest to kluczowe, aby uniknąć kar).
Klasyfikacja podmiotów
Dyrektywa NIS2 wprowadza dodatkowy podział przedsiębiorstw na podmioty kluczowe i ważne. Kluczowe to spółki odgrywające zasadniczą rolę w funkcjonowaniu strategicznych sektorów, np. energetycznego, zdrowotnego czy zaopatrzenia w wodę. Podlegają bardziej rygorystycznym wymogom w zakresie zarządzania ryzykiem, raportowania incydentów, współpracy międzysektorowej, w tym obowiązkowi częstszych audytów oraz wyższym karom za nieprzestrzeganie regulacji. Ponadto zatrudniają więcej niż 250 pracowników lub ich roczny obrót przekracza 50 mln euro.
Z kolei podmioty ważne mają istotne znaczenie dla gospodarki, ale ich działalność nie jest kluczowa dla bezpieczeństwa kraju. Są monitorowane w sposób bardziej elastyczny. Pracuje w nich ponad 50 pracowników lub mają rocznie więcej niż 10 mln euro obrotu. W praktyce oznacza to, że np. średniej wielkości firma IT świadcząca kluczowe usługi może zostać zaklasyfikowana jako podmiot kluczowy, co wiąże się z większymi obowiązkami.
Największe wyzwania we wdrażaniu dyrektywy
Należą do nich:
- Brak zasobów
Mniejsze firmy często napotykają trudności w alokacji odpowiednich budżetów na wdrożenie nowych systemów zabezpieczeń, co może hamować ich zdolność do spełnienia wymogów regulacyjnych.
- Niewystarczająca liczba specjalistów
Rosnące zapotrzebowanie na ekspertów w dziedzinie cyberbezpieczeństwa stanowi istotne wyzwanie, utrudniając skuteczne wdrożenie nowych regulacji oraz zapewnienie odpowiedniego poziomu ochrony.
- Złożoność infrastruktury
Firmy korzystające z nowoczesnych technologii, takich jak internet rzeczy (IoT) czy sztuczna inteligencja (AI), muszą dostosować swoje procedury do bardziej skomplikowanych systemów, co wymaga dodatkowych zasobów i wiedzy.
Warto zauważyć, że wiele przedsiębiorstw już teraz podejmuje kroki, by zwiększyć bezpieczeństwo danych. Wdrożenie NIS2 wymaga jednak znacznych inwestycji w infrastrukturę IT, polityki bezpieczeństwa oraz szkolenia pracowników, co będzie dużym wyzwaniem, zwłaszcza dla małych i średnich firm. ©℗
Tabela. Sektory objęte NIS2
| Dotychczasowe sektory podlegające pod NISDotychczasowe sektory podlegające pod NIS | Sektory objęte nowymi obowiązkami z NIS2 od października 2024 r.Sektory objęte nowymi obowiązkami z NIS2 od października 2024 r. |
| energetykaochrona zdrowiatransportwoda pitnabankowośćinfrastruktura rynku finansowegoinfrastruktura cyfrowadostawcy usług cyfrowych | przemysł spożywczyprodukcjagospodarka odpadami i ściekiusługi pocztowe i kurierskiedostawcy infrastruktury elektronicznej (m.in. centra danych, chmura)dostawcy zarządzanych usług ICT (np. Service Desk)administracja publicznaprzestrzeń kosmiczna |
Jaka jest gotowość branż do wdrożenia NIS2?
1. Sektor IT i telekomunikacyjny – wysoka. Te firmy już stosują zaawansowane standardy ochrony IT i mają doświadczenie z wcześniejszą dyrektywą NIS.
2. Sektor finansowy – wysoka. Instytucje finansowe są objęte wieloma regulacjami, co ułatwia im dostosowanie się do NIS2.
3. Sektor energetyczny – średnia. Duże firmy są przygotowane, ale mniejsze podmioty mogą napotkać trudności.
4. Sektor wodociągowy – średnia. Świadomość zagrożeń jest wysoka, ale wdrożenie może być wyzwaniem dla mniejszych firm.
5. Opieka zdrowotna – niska do średniej. Placówki medyczne dopiero intensyfikują inwestycje w bezpieczeństwo cyfrowe.
6. Transport i logistyka – średnia. Większe firmy wdrażają odpowiednie systemy, ale mniejsze przedsiębiorstwa mogą mieć trudności.
7. Produkcja – niska do średniej. Świadomość zagrożeń w mniejszych firmach jest ograniczona, co może utrudniać wdrożenie NIS2.
8. Administracja publiczna – średnia. Stare systemy IT i konieczność koordynacji między jednostkami mogą spowolnić wdrażanie regulacji. ©℗
Podstawa prawna
Podstawa prawna
• dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.Urz. UE z 2022 r. L333, s. 80)