1. Czym jest NIS2?
Dyrektywa NIS2 (2022/2555), obowiązująca od 17 października 2024 r. (art. 41, dyrektywa 2022/2555), rozszerza obowiązki w zakresie cyberbezpieczeństwa na ponad 160 000 podmiotów w 18 sektorach w UE. Zastępuje NIS1 z karami sięgającymi 10 mln euro lub 2% globalnego rocznego obrotu.
Pierwotna dyrektywa NIS (Bezpieczeństwo Sieci i Informacji) z 2016 roku stanowiła pierwszą wiążącą legislację UE w dziedzinie cyberbezpieczeństwa. Zobowiązywała państwa członkowskie do wyznaczenia właściwych organów i ustanowienia minimalnych wymogów bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych. Chociaż stworzyła fundament wspólnego podejścia, nierównomierna implementacja w poszczególnych krajach ujawniła istotne luki w harmonizacji.
W obliczu szybko rosnących zagrożeń cybernetycznych i utrzymującej się fragmentacji między państwami członkowskimi Komisja Europejska opublikowała dyrektywę NIS2 (2022/2555) 27 grudnia 2022 roku. Ten akt prawny gruntownie przebudowuje poprzednie ramy: znacznie rozszerza zakres objętych podmiotów — ponad 160 000 podmiotów (art. 2, dyrektywa 2022/2555) —, wzmacnia obowiązki w zakresie bezpieczeństwa, zaostrza sankcje i wymaga wzmocnionej współpracy między organami krajowymi. Dyrektywa weszła w życie 17 października 2024 roku (art. 41, dyrektywa 2022/2555) — termin, do którego państwa członkowskie były zobowiązane transponować jej przepisy do prawa krajowego.
W Polsce wdrożenie NIS2 nadzoruje CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego NASK) jako właściwy organ krajowy, we współpracy z Ministerstwem Cyfryzacji. Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) w nowelizacji implementującej NIS2 stanowi krajowe ramy prawne. Zaleca się, aby firmy już teraz oceniły swój poziom cyberbezpieczeństwa i podjęły niezbędne działania w celu osiągnięcia zgodności.
2. Kogo dotyczy NIS2?
NIS2 klasyfikuje organizacje jako podmioty kluczowe (ponad 250 pracowników lub 50 mln euro obrotu) i podmioty ważne (ponad 50 pracowników lub 10 mln euro obrotu) w 18 sektorach objętych Załącznikami I i II dyrektywy 2022/2555, w tym energetyka, ochrona zdrowia, transport i infrastruktura cyfrowa.
Podmioty kluczowe vs podmioty ważne
NIS2 rozróżnia dwie kategorie podmiotów zobowiązanych: podmioty kluczowe (PK) i podmioty ważne (PW). Podmioty kluczowe to duże organizacje (ponad 250 pracowników lub ponad 50 mln euro rocznego obrotu) (art. 2, dyrektywa 2022/2555) działające w sektorach wysoce krytycznych z Załącznika I. Podmioty ważne obejmują średnie organizacje (ponad 50 pracowników lub ponad 10 mln euro obrotu) (art. 2, dyrektywa 2022/2555) w sektorach z Załącznika I lub II. To rozróżnienie determinuje poziom nadzoru sprawowanego przez CSIRT NASK oraz wysokość stosowanych sankcji.
Kryteria wielkości
Aby określić, czy Twoja firma kwalifikuje się jako podmiot kluczowy lub ważny, stosuje się dwa kryteria: liczbę pracowników i roczny obrót. Organizacja jest uznawana za dużą (próg podmiotu kluczowego), jeśli przekracza 250 pracowników lub 50 mln euro obrotu (art. 2, dyrektywa 2022/2555). Jest uznawana za średnią (próg podmiotu ważnego), jeśli przekracza 50 pracowników lub 10 mln euro obrotu (art. 2, dyrektywa 2022/2555). Progi te są oceniane na poziomie osoby prawnej, a nie grupy.
18 objętych sektorów
Dyrektywa obejmuje 18 sektorów (Załączniki I i II, dyrektywa 2022/2555) podzielonych na dwa załączniki. Załącznik I obejmuje 11 sektorów wysoce krytycznych: energetyka — transport — bankowość — infrastruktury rynków finansowych — ochrona zdrowia — woda pitna — ścieki — infrastruktura cyfrowa — zarządzanie usługami ICT — administracja publiczna — przestrzeń kosmiczna. Załącznik II dodaje 7 sektorów krytycznych: usługi pocztowe i kurierskie — gospodarka odpadami — wytwarzanie i dystrybucja chemikaliów — produkcja i dystrybucja żywności — przemysł wytwórczy — dostawcy usług cyfrowych — badania naukowe.
Nawet jeśli Twoja firma nie należy bezpośrednio do objętego sektora, może być dotknięta, jeśli dostarcza usługi lub produkty do podmiotu kluczowego lub ważnego. NIS2 zobowiązuje bowiem podmioty objęte zakresem do zapewnienia, że ich krytyczni dostawcy również utrzymują odpowiedni poziom bezpieczeństwa — w praktyce poprzez klauzule umowne, kwestionariusze bezpieczeństwa i audyty.
3. Konkretne obowiązki
Artykuł 21 dyrektywy 2022/2555 nakłada osiem podstawowych obowiązków: zarządzanie, zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów w ciągu 24 h/72 h (art. 23), ciągłość działania, bezpieczeństwo HR, kryptografia i kontrola dostępu (MFA).
Artykuł 21 dyrektywy NIS2 określa środki techniczne, operacyjne i organizacyjne, które podmioty objęte zakresem muszą wdrożyć. Środki te muszą być proporcjonalne do poziomu ryzyka, wielkości podmiotu i potencjalnych konsekwencji incydentów. Zdefiniowano osiem podstawowych obowiązków.
Zarządzanie i odpowiedzialność
Po pierwsze, zarządzanie i odpowiedzialność kierownictwa: organy zarządzające muszą zatwierdzać środki cyberbezpieczeństwa i ponosić osobistą odpowiedzialność za poważne naruszenia. Po drugie, zarządzanie ryzykiem: regularne oceny ryzyka, identyfikacja krytycznych aktywów i udokumentowana polityka bezpieczeństwa. Po trzecie, bezpieczeństwo łańcucha dostaw: ocena i nadzór nad krytycznymi dostawcami poprzez klauzule umowne, kwestionariusze i audyty.
Zgłaszanie incydentów
Po czwarte, zarządzanie incydentami i zgłaszanie w ciągu 72 godzin (art. 23, dyrektywa 2022/2555): wczesne ostrzeżenie do CSIRT NASK w ciągu 24 godzin (art. 23, dyrektywa 2022/2555) od wykrycia istotnego incydentu, pełne zgłoszenie w ciągu 72 godzin i raport końcowy w ciągu miesiąca.
Ciągłość działania
Po piąte, ciągłość działania: sformalizowane i regularnie testowane plany ciągłości działania (BCP) i plany odtwarzania po awarii (DRP).
Zarządzanie ryzykiem
Po szóste, bezpieczeństwo zasobów ludzkich: weryfikacja przeszłości dla wrażliwych stanowisk, szkolenia z cyberbezpieczeństwa i natychmiastowe cofnięcie dostępu przy odejściu pracownika. Po siódme, kryptografia: szyfrowanie wrażliwych danych w tranzycie i w spoczynku, udokumentowane zarządzanie kluczami i certyfikatami. Po ósme, kontrola dostępu: uwierzytelnianie wieloskładnikowe (MFA) obowiązkowe dla systemów krytycznych i polityka IAM oparta na zasadzie minimalnych uprawnień.
4. Sankcje i kontrole
Kary NIS2 sięgają 10.000.000 € lub 2% globalnego rocznego obrotu dla podmiotów kluczowych i 7.000.000 € lub 1,4% dla podmiotów ważnych (art. 34, dyrektywa 2022/2555). Kadra kierownicza ponosi odpowiedzialność osobistą, łącznie z tymczasowym zakazem pełnienia funkcji zarządczych.
NIS2 ustanawia znacznie surowszy reżim sankcji niż jego poprzednik. Grzywny obliczane są na podstawie wyższej kwoty spośród stałego pułapu i procentu globalnego rocznego obrotu, aby zapewnić efekt odstraszający niezależnie od wielkości podmiotu. Dla podmiotów kluczowych maksymalna grzywna wynosi 10.000.000 € lub 2% globalnego rocznego obrotu (art. 34, dyrektywa 2022/2555). Dla podmiotów ważnych jest to 7.000.000 € lub 1,4% globalnego rocznego obrotu (art. 34, dyrektywa 2022/2555).
Istotną nowością w porównaniu z NIS1 jest osobista odpowiedzialność kadry kierowniczej wyższego szczebla w przypadku poważnego naruszenia obowiązków z zakresu cyberbezpieczeństwa. Państwa członkowskie mogą nakładać indywidualne sankcje na osoby fizyczne pełniące funkcje kierownicze w podmiotach kluczowych, łącznie z tymczasowym zakazem pełnienia funkcji zarządczych. Przepis ten ma na celu zapewnienie, że organy zarządzające przejmą bezpośrednią odpowiedzialność za politykę cyberbezpieczeństwa.
CSIRT NASK i właściwe organy sektorowe dysponują szerokim zakresem uprawnień egzekucyjnych: audyty bezpieczeństwa na miejscu i zdalnie, żądania informacji, nakazy zgodności z terminami oraz publikacja naruszeń (name and shame). W przypadku podmiotów kluczowych audyty mogą być inicjowane proaktywnie bez wcześniejszego zaistnienia incydentu.
5. Jak osiągnąć zgodność z NIS2
Zgodność z NIS2 obejmuje 5 kroków w ciągu minimum 9 miesięcy: inwentaryzacja aktywów, ocena ryzyka (metodologia OCTAVE lub ISO 27005), wdrożenie środków technicznych, szkolenia personelu i ciągły audyt. Kierownictwo wyższego szczebla musi prowadzić projekt zgodności.
Osiągnięcie zgodności z NIS2 to wielomiesięczny projekt organizacyjny. Poniższy plan pięciu kroków oparty jest na wytycznych CSIRT NASK i rekomendacjach ENISA.
Krok 1: Zinwentaryzować aktywa
Krok 1 (miesiące 1-2) — Inwentaryzacja aktywów: zidentyfikuj i skataloguj wszystkie zasoby cyfrowe (serwery, aplikacje, urządzenia sieciowe, stacje robocze, dostęp do chmury) i sklasyfikuj je według krytyczności dla biznesu.
Krok 2: Ocenić ryzyko
Krok 2 (miesiące 2-3) — Ocena ryzyka: przeprowadź analizę ryzyka identyfikując zagrożenia, podatności i potencjalne skutki dla każdego krytycznego aktywa; metodologia OCTAVE lub norma ISO 27005 są odpowiednie do tego zadania.
Krok 3: Wdrożyć środki
Krok 3 (miesiące 3-6) — Wdrożenie środków: zaimplementuj priorytetowe środki techniczne i organizacyjne (MFA, szyfrowanie, segmentacja sieci, zarządzanie łatkami, kopie zapasowe, wykrywanie incydentów) i udokumentuj każdy wdrożony środek.
Krok 4: Szkolić personel
Krok 4 (miesiące 6-9) — Szkolenia personelu: podnoś świadomość wszystkich pracowników na temat zagrożeń cybernetycznych i dobrych praktyk; szkol zespoły IT w zakresie nowych procedur wykrywania i zgłaszania incydentów; angażuj kierownictwo wyższego szczebla w szkolenia dotyczące zarządzania i odpowiedzialności wynikającej z NIS2.
Krok 5: Ciągle auditować i doskonalić
Krok 5 (ciągły) — Audyt i ciągłe doskonalenie: planuj regularne audyty wewnętrzne i zewnętrzne, aktualizuj analizę ryzyka co najmniej raz w roku, testuj plan ciągłości działania poprzez ćwiczenia kryzysowe i utrzymuj aktualną dokumentację wszystkich działań związanych ze zgodnością.
6. Oficjalne zasoby
Kluczowe zasoby dotyczące zgodności z NIS2 obejmują oficjalny tekst na EUR-Lex, poradniki CSIRT NASK (cert.pl), informacje Ministerstwa Cyfryzacji, wytyczne ENISA oraz normę ISO/IEC 27001 dla analizy ryzyka wymaganej przez art. 21.
Kilka oficjalnych źródeł pomoże Ci lepiej zrozumieć NIS2 i rozpocząć proces osiągania zgodności.
Pełny tekst dyrektywy (UE) 2022/2555 jest dostępny na EUR-Lex, Dzienniku Urzędowym Unii Europejskiej. CSIRT NASK (cert.pl) publikuje praktyczne poradniki, narzędzia do samoceny i aktualne informacje o polskiej implementacji NIS2 poprzez nowelizację ustawy o KSC. Ministerstwo Cyfryzacji udostępnia informacje o krajowych regulacjach i harmonogramie wdrożenia NIS2 w Polsce.
Dla podmiotów poszukujących wsparcia przy zgodności, Polskie Centrum Akredytacji certyfikuje jednostki audytowe, które mogą przeprowadzać niezależne oceny zgodności z NIS2. Norma ISO/IEC 27001 jest powszechnie uznawana przez polskie organy nadzorcze jako dowód wdrożenia odpowiednich środków bezpieczeństwa. ENISA oferuje uzupełniające wytyczne techniczne i rekomendacje implementacyjne dla podmiotów we wszystkich państwach członkowskich.