NIS2 – czy twoja firma jest gotowa?

8 miesięcy zostało do ostatecznego terminu wejścia w życie NIS2. Kogo dotyczy? Czy wielkość organizacji ma znaczenie? Sprawdź!

NIS2 - dlaczego dotyczy tak wielu firm?

Dyrektywa NIS2 to aktualizacja Dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS), która została wprowadzona przez Unię Europejską w celu poprawy cyberbezpieczeństwa na terenie UE w 2016 roku.  Rosnąca skala cyberzagrożeń, nasilające się ataki i rozwój technologii wykorzystywanej przez cyberprzestępców sprawiły, że rekomendowane w niej rozwiązania szybko okazały się niewystarczające.

Dyrektywa NIS2 uzupełnia pierwotny dokument, wprowadza też podział na sektory kluczowe i sektory ważne, ale nie tylko dla nich nowe przepisy będą istotnym czynnikiem otoczenia prawnego. Ich stosowanie może być wymagane przez wszystkich uczestników łańcucha dostaw do firm z tych dwóch obszarów.

Kluczowe sektory cyberbezpieczeństwa kraju w kontekście NIS2

To czy dany podmiot zostanie zakwalifikowany jako kluczowy, czy ważny, zależy m. in. od jego rozmiaru oraz sektora działalności. Istotne jest również określenie, jakie znaczenie ma dany sektor dla niezakłóconego funkcjonowania gospodarczego i społecznego Unii Europejskiej.

Szczególną uwagę na kwestię zabezpieczeń muszą zwrócić branże uznane za kluczowe dla działania gospodarki UE i dobrostanu jej obywateli.
Sektory kluczowe to: 

  • energetyka,
  • transport, 
  • bankowość, 
  • infrastruktura rynków finansowych,
  • opieka zdrowotna, 
  • woda pitna, 
  • ścieki, 
  • infrastruktura cyfrowa, 
  • zarządzanie usługami ICT (między przedsiębiorstwami),
  • podmioty administracji publicznej,
  • przestrzeń kosmiczna

NIS2 wyróżnia także drugą kategorię organizacji, które są uznawane za ważne dla stabilności gospodarki i całej Unii Europejskiej. Są to tzw. sektory ważne:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, wytwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie ich dystrybucja żywności,
  • produkcja,
  • dostawcy usług cyfrowych,
  • badania naukowe.

Ponadto na rynku pojawiają się głosy, że wymogi NIS2 będą musiały spełnić nie tylko firmy z wymienionych kategorii, ale również ich dostawcy, nawet jeśli do tych kategorii nie należą.

Dyrektywa NIS2 ma zastosowanie zarówno do podmiotów publicznych, jak i prywatnych, które działają na terenie Unii Europejskiej i kwalifikują się jako średnie lub duże firmy. Są to organizacje, które zatrudniają co najmniej 50 pracowników, a ich roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro.

Maksymalne kary za zaniedbania  obowiązków wynikających z  NIS2

Zarówno podmioty kluczowe jak ważne obciążone mogą być wysokimi karami finansowymi. Bardzo ważnym elementem pracy nad zabezpieczeniami firmy, które pomogą uniknąć nie tylko cyberataków, ale również związanych z nimi problemów formalnych i kar, jest stała analiza sytuacji.

podmioty kluczowe 

maksymalny wymiar kary to 10 mln EUR lub co najmniej 2% obrotu

podmioty ważne

maksymalny wymiar kary to 7 mln EUR lub co najmniej 1,4% obrotu

Twoja organizacja należy do któregoś z wymienionych sektorów lub blisko z nimi współpracuje?

Data 17 października 2024 r. to ostateczny termin implementacji nowych przepisów do polskiego systemu prawnego.

Po tym czasie przepisy zawarte w dyrektywie zaczynają obowiązywać wszystkie wskazane podmioty w państwach członkowskich. Przygotowania warto zacząć wcześniej – wprowadzanie odpowiednich procesów, polityk i zabezpieczeń może potrwać kilka tygodni.

Szukasz wsparcia w zabezpieczeniu infrastruktury IT? Porozmawiajmy.

Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami!

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.

Powiązane informacje

Powiązane usługi