Czym jest NIS2?
Dyrektywa UE 2022/2555 w sprawie cyberbezpieczeństwa, najważniejsza reforma ogólnounijnych regulacji cyberbezpieczeństwa od 2016 roku.
Przegląd
Dyrektywa NIS2 (dyrektywa (UE) 2022/2555) to zaktualizowane ramy Unii Europejskiej służące osiągnięciu wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich. Zastępuje ona pierwotną dyrektywę NIS z 2016 roku.
NIS2 znacząco rozszerza zakres regulacji cyberbezpieczeństwa UE: z około 10 000 podmiotów objętych NIS1 do szacowanych 160 000 w całej Europie. W samych Niemczech objętych jest około 29 500 firm.
Dyrektywa nakłada zharmonizowane środki zarządzania ryzykiem, obowiązki zgłaszania incydentów oraz wymogi bezpieczeństwa łańcucha dostaw. Wprowadza osobistą odpowiedzialność kierownictwa oraz znacznie wyższe kary za nieprzestrzeganie przepisów.
| Data | Zdarzenie |
|---|---|
| 27 grudnia 2022 | Dyrektywa NIS2 opublikowana w Dzienniku Urzędowym UE |
| 16 stycznia 2023 | NIS2 wchodzi w życie na poziomie UE |
| 17 października 2024 | Termin transpozycji do prawa krajowego przez państwa członkowskie |
| 17 kwietnia 2025 | Termin utworzenia rejestrów podmiotów przez państwa członkowskie |
| 17 października 2027 | Komisja Europejska dokonuje przeglądu funkcjonowania dyrektywy |
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Zakres | ~10 000 podmiotów w UE | ~160 000 podmiotów w UE |
| Sektory | 7 sektorów | 18 sektorów (11 o znaczeniu krytycznym + 7 pozostałych sektorów krytycznych) |
| Klasyfikacja podmiotów | Operatorzy usług kluczowych (OES) + dostawcy usług cyfrowych | Podmioty kluczowe + podmioty ważne (w zależności od wielkości) |
| Kary | Ustalane przez państwa członkowskie, znacznie zróżnicowane | Zharmonizowane: do 10 mln EUR lub 2% globalnego obrotu |
| Odpowiedzialność kierownictwa | Nieuregulowana | Osobista odpowiedzialność organów zarządzających |
| Zgłaszanie incydentów | Bez zbędnej zwłoki | Rygorystyczna kaskada 24 godz. / 72 godz. / 1 miesiąc |
| Łańcuch dostaw | Nieuregulowany | Obowiązkowa ocena bezpieczeństwa łańcucha dostaw |
| Nadzór | Pozostawiony państwom członkowskim | Proaktywny (podmioty kluczowe) + reaktywny (podmioty ważne) |
18 objętych sektorów
- 01Energetyka (energia elektryczna, system ciepłowniczy/chłodniczy, ropa naftowa, gaz, wodór)
- 02Transport (lotniczy, kolejowy, wodny, drogowy)
- 03Bankowość
- 04Infrastruktury rynku finansowego
- 05Zdrowie (szpitale, farmacja, wyroby medyczne, laboratoria referencyjne)
- 06Woda pitna
- 07Ścieki
- 08Infrastruktura cyfrowa (DNS, TLD, chmura, centra danych, CDN, telekomunikacja)
- 09Zarządzanie usługami ICT, B2B (MSP, MSSP)
- 10Administracja publiczna
- 11Przestrzeń kosmiczna
- 01Usługi pocztowe i kurierskie
- 02Gospodarowanie odpadami
- 03Chemikalia (wytwarzanie, produkcja, dystrybucja)
- 04Żywność (handel hurtowy, produkcja przemysłowa, przetwarzanie)
- 05Produkcja (wyroby medyczne, elektronika, sprzęt elektryczny, maszyny, pojazdy silnikowe, pozostały transport)
- 06Dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki internetowe, sieci społecznościowe)
- 07Organizacje badawcze
| Wielkość | Pracownicy | Próg finansowy | Zakres NIS2 |
|---|---|---|---|
| Duże | ≥ 250 | > 50 mln EUR obrotu ORAZ > 43 mln EUR sumy bilansowej | Objęte |
| Średnie | ≥ 50 (i < 250) | > 10 mln EUR obrotu ORAZ > 10 mln EUR sumy bilansowej | Objęte |
| Małe | < 50 | ≤ 10 mln EUR obrotu ORAZ ≤ 10 mln EUR sumy bilansowej | Co do zasady nieobjęte |
Niektóre typy podmiotów są objęte niezależnie od wielkości, w tym dostawcy DNS, rejestry nazw TLD, kwalifikowani dostawcy usług zaufania, operatorzy KRITIS oraz wyłączni dostawcy usług kluczowych.
- Wdrożenie 10 obowiązkowych środków zarządzania ryzykiem w cyberbezpieczeństwie
- Zgłaszanie poważnych incydentów w ciągu 24 godz. / 72 godz. / 1 miesiąca
- Kierownictwo musi zatwierdzać, nadzorować i być przeszkolone w zakresie cyberbezpieczeństwa
- Ocena ryzyk cyberbezpieczeństwa w łańcuchu dostaw i zarządzanie nimi
- Rejestracja u krajowego właściwego organu
- Utrzymywanie dowodów zgodności (audyty dla operatorów KRITIS co 3 lata)