Dyrektywa NIS2 — kogo dotyczy i jak się przygotować?

Dyrektywa NIS2 i jej zakres

Dyrektywa 2022/2555/EU, powszechnie znana jako dyrektywa NIS2, została przyjęta przez Parlament Europejski w jesienią 2022 roku i wejdzie w pełne życie w Polsce w drugiej połowie 2025 roku, wraz z wdrażającą ją ustawą o krajowym systemie cyberbezpieczeństwa. W odróżnieniu od poprzedniej dyrektywy NIS (2016/1148/EU), która miała charakter szeroki i niezobowiązujący dla wielu sektorów, NIS2 narzuca rygorystyczne wymogi na znacznie szerszą grupę podmiotów, zwłaszcza w sektorach uznanych za krytyczne dla funkcjonowania Unii Europejskiej i gospodarek członkowskich.

Podmioty objęte dyrektywą

Dyrektywa NIS2 rozciąga się na co najmniej trzynaście sektorów uznanych za „istotne" — transport, energia, wodociągi i ścieki, gaz, opieka zdrowotna, infrastruktura publiczna, finanse, zdrowie publiczne, bezpieczeństwo publiczne, dystrybucja żywności, produkcja, przechowywanie i dystrybucja paliw, chemikalia, systemy produkcji, transmisji, dystrybucji elektrycznej, oraz telekomunikacja. Oprócz sektorów istotnych, dyrektywa obejmuje również tzw. podmioty „ważne" (important entities), które obejmują dostawców usług cyfrowych, dostawców usług w chmurze, dostawców usług zarządzania usługami bezpieczeństwa informacji (MSSE providers), oraz dostawców zakupów urządzeń do przetwarzania danych. Ta kategoria „podmiotów ważnych" ma szczególne znaczenie dla polskiego rynku — obejmuje ona instytucje takie jak szkoły, uniwersytety, centra badawcze, archiwa, biblioteki, a także firmy technologiczne i dostawców usług hostingowych.

Dyrektywa obejmuje znacznie szerszą grupę podmiotów niż poprzednia wersja NIS.

Artykuł 2 dyrektywy NIS2 definiuje kryteria dla podmiotów istotnych i ważnych. Podmiotem istotnym jest każda organizacja z minimum 250 pracowników lub rocznym przychodem przekraczającym 50 milionów euro, operująca w sektore istotnym. Jednak dla małych podmiotów — organizacji z mniej niż 50 pracownikami — wymagania są łagodniejsze. Ta elastyczność pozwala małym firmom sektora istotnego na wdrażanie bardziej proporcjonalnych wymogów, chociaż i one muszą spełnić bazowe wymogi dotyczące zarządzania ryzykiem cybernetycznym i raportowania incydentów.

Wymogi zarządzania ryzykiem

Kluczowe wymogi NIS2 obejmują wdrożenie skutecznego systemu zarządzania ryzykiem cybernetycznym (cyber risk management system). Artykuł 17 dyrektywy wymaga, aby podmioty istotne wdrażały „odpowiednie" (appropriate) polityki, procedury i praktyki dotyczące bezpieczeństwa sieci i systemów informacyjnych. Ta terminologia jest celowo zamieszana — „odpowiednie" oznacza, że wymogi są proporcjonalne do ryzyka, jakie stanowią dane podmiotu dla bezpieczeństwa narodowego i społecznego. W praktyce, oznacza to implementację systemów zarządzania bezpieczeństwem informacji zbliżonych do wymagań ISO 27001:2022, z dodatkowymi wymogami sprecyzowanymi w wytycznych ENISA.

Raportowanie incydentów

Wymóg raportowania incydentów cybernetycznych stanowi drugi filar NIS2. Artykuł 19 dyrektywy wymaga, aby podmioty istotne raportowały incydenty mające znaczący wpływ na ciągłość usług operacyjnych do właściwego organu nadzoru (w Polsce będzie to Rządowe Centrum Bezpieczeństwa) w ciągu 24 godzin od czasowego potwierdzenia incydentu. Ta „24-godzinna zasada" jest znacznie bardziej rygorystyczna niż wymoga artykułu 33 RODO, która daje 72 godziny na zawiadomienie organu nadzorczego. Incydenty uznane za poważne muszą być również raportowane do publiczności, chyba że raportowanie mogłoby utrudnić śledztwo. Dla podmiotów ważnych wymagany jest raport w ciągu 72 godzin.

Incydenty muszą być raportowane w ciągu 24 godzin dla podmiotów istotnych.

Znaczący wpływ incydentu jest definiowany poprzez kilka kryteriów. Incydent ma znaczący wpływ, jeśli dotyka bezpośrednio usługi operacyjne podmiotu i powoduje przerwę w świadczeniu usług przez co najmniej 15 minut dla wielu użytkowników, lub jeśli dotyka danych w stopniu mogącym negatywnie wpłynąć na prywatność czy bezpieczeństwo danych osobowych. Ta interpretacja wymaga od podmiotów wdrażania zaawansowanych systemów monitorowania incydentów i procedur alarmowania — wiele polskich firm będzie musiało znacznie zwiększyć swoje zdolności w tym obszarze.

Bezpieczeństwo łańcucha dostaw

Artykuł 18 NIS2 wymaga, aby podmioty istotne wdrożyły wymogi dotyczące bezpieczeństwa łańcucha dostaw (supply chain security). Oznacza to, że firma musi przeprowadzać due diligence na swoich dostawcach, partnerach technicznych oraz podwykonawcach, zwłaszcza tych, którzy mają dostęp do krytycznych systemów informacyjnych. W praktyce, oznacza to konieczność przeprowadzania audytów bezpieczeństwa u dostawców, zawierania umów zawierających specyficzne wymogi dotyczące bezpieczeństwa cybernetycznego, oraz monitorowania ich zgodności.

Odpowiedzialność kierownictwa

Accountability — odpowiedzialność kierownictwa — jest kluczowym elementem NIS2. Artykuł 21 wymaga, aby członkowie zarządu (boardu dyrektorów) lub kadry kierowniczej posiadali kompetencje w zakresie cyberbezpieczeństwa i byli odpowiedzialni za wdrażanie wymogów dyrektywy. To oznacza, że w Polsce, członkowie zarządów firm sektora istotnego będą osobiście odpowiedzialni za zapewnienie zgodności z wymogami NIS2. W przypadku niedotrzymania wymogów, grzywny mogą sięgać do 10 milionów euro lub 2 procent światowych przychodów rocznych — maksimum z tych dwóch kwot.

Interakcja między NIS2 a RODO wymaga szczególnej uwagi. Während NIS2 skupia się na bezpieczeństwie systemów informacyjnych i infrastrukturze, RODO fokusuje się na ochronie danych osobowych. Jednak oba regulacje są ze sobą splecione — naruszenie bezpieczeństwa systemów (NIS2) niemal zawsze prowadzi do naruszenia bezpieczeństwa danych osobowych (RODO). Firmy muszą zapewnić, że ich plany reagowania na incydenty pokrywają wymogi zarówno NIS2, jak i RODO. Raportowanie do organów nadzorczych musi odbywać się w ramach obu regulacji, z różnymi terminami — 24 godziny dla NIS2, 72 godziny dla RODO.

Wdrażanie NIS2 w Polsce jest procesem stopniowym. Ustawa o krajowym systemie cyberbezpieczeństwa, która wejdzie w życie w drugiej połowie 2025 roku, ustanowi krajowy punkt kontaktowy (RCC — Rządowe Centrum Bezpieczeństwa) oraz sieć ekspertów ds. cyberbezpieczeństwa. Jednak organizacje mające status „podmiotu istotnego" lub „podmiotu ważnego" powinny rozpocząć przygotowania już teraz. Przygotowanie to obejmuje przeprowadzenie oceny luk (gap analysis) w stosunku do wymogów NIS2, wdrażanie procedur zarządzania ryzykiem cybernetycznym, szkolenie kadry kierowniczej, oraz ustanowienie procedur raportowania incydentów.

Dla polskich firm, wymogi NIS2 nie są teoretyczne — są to konkretne, mierzalne wymogi, które muszą być wdrażane przed drugą połową 2025 roku. Firmy sektora energetycznego, transportu, telekomunikacji, finansów i technologii powinny już teraz podjąć działania w celu przygotowania się do tych wymogów. Niezastosowanie się do wymogów NIS2 może prowadzić nie tylko do kar finansowych, ale także do utraty możliwości operowania w sektorach istotnych, co może mieć katastrofalne konsekwencje biznesowe. Inwestycja w cyberbezpieczeństwo, zgodnie z wymogami NIS2 i ISO 27001:2022, jest już nie opcją, ale imperatywem biznesowym dla firm w Polsce.