Dyrektywa NIS2 weszła w życie w październiku 2024 roku i stanowi największą reformę europejskiego prawa cyberbezpieczeństwa od dekady. W Polsce obowiązki wynikające z NIS2 dotyczą kilku tysięcy podmiotów — wielokrotnie więcej niż poprzednia dyrektywa NIS1. Organizacje, które nie wdrożą wymaganych kontroli, narażają się na kary sięgające dziesiątek milionów euro oraz osobistą odpowiedzialność członków zarządu.
Czym jest dyrektywa NIS2
NIS2 (Network and Information Security Directive 2) to unijna dyrektywa 2022/2555, która zastąpiła pierwotną dyrektywę NIS z 2016 roku. Weszła ona w życie 16 stycznia 2023 roku, a termin transpozycji do prawa krajowego upłynął 17 października 2024 roku. W Polsce transpozycja odbyła się przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.
Kluczową różnicą między NIS1 a NIS2 jest dramatycznie rozszerzony zakres podmiotowy. O ile NIS1 obejmowała w Polsce około 100 podmiotów kluczowej infrastruktury, NIS2 rozszerza ten zakres do szacowanych 6000 podmiotów. Zmieniono też podejście klasyfikacyjne: zamiast jednej kategorii operatorów usług kluczowych, NIS2 wprowadza dwustopniową klasyfikację: podmioty kluczowe (essential entities) oraz podmioty ważne (important entities).
Podmiotami kluczowymi są organizacje działające w sektorach: energetyki, transportu, bankowości, infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę i jej dystrybucji, infrastruktury cyfrowej, zarządzania usługami ICT oraz administracji publicznej. Podmiotami ważnymi są m.in. dostawcy usług pocztowych, przedsiębiorstwa gospodarki odpadami, podmioty z sektora chemicznego, spożywczego i produkcji przemysłowej, a także dostawcy cyfrowi.
Progi wielkości przedsiębiorstwa odgrywają istotną rolę: podmioty kluczowe to co do zasady organizacje zatrudniające powyżej 250 pracowników lub osiągające obrót powyżej 50 mln euro, natomiast podmioty ważne — powyżej 50 pracowników lub obrót powyżej 10 mln euro. Istnieją jednak wyjątki dla niektórych sektorów (np. infrastruktura krytyczna), gdzie progi nie obowiązują.
Kto musi stosować NIS2
NIS2 obejmuje wszystkie średnie i duże przedsiębiorstwa działające w 18 zdefiniowanych sektorach. Jeśli Twoja organizacja świadczy usługi w jednym z poniższych obszarów, prawdopodobnie podlega NIS2:
- Sektory kluczowe: energia (elektryczna, gazowa, ciepłownicza, naftowa, wodorowa), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną, ścieki, infrastruktura cyfrowa (punkty wymiany ruchu, DNS, TLD, chmura, centra danych, sieci CDN), zarządzanie usługami ICT (dostawcy usług zarządzanych — MSP, MSSP), administracja publiczna.
- Sektory ważne: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja przemysłowa (wyroby medyczne, komputery, elektronika, maszyny, pojazdy), dostawcy cyfrowi (platformy handlu elektronicznego, wyszukiwarki, sieci społecznościowe).
Warto zaznaczyć, że nawet jeśli Twoja organizacja nie spełnia kryteriów wielkości, organy nadzorcze mogą ją zakwalifikować jako podmiot kluczowy lub ważny ze względu na znaczenie dla bezpieczeństwa publicznego, porządku publicznego lub zdrowia publicznego. Dotyczy to szczególnie mniejszych podmiotów świadczących usługi krytyczne na poziomie regionalnym.
Dostawcy usług zarządzanych (MSP i MSSP) znaleźli się w NIS2 jako podmioty kluczowe, co wynika z doświadczeń z ataków takich jak SolarWinds czy Kaseya — kompromitacja dostawcy usług IT daje atakującym dostęp do setek organizacji jednocześnie. Jeśli jesteś MSP lub MSSP obsługującym podmioty kluczowe lub ważne, Twoje własne środowisko musi spełniać wymogi NIS2.
Kluczowe wymagania techniczne NIS2
NIS2 nakłada obowiązek wdrożenia kompleksowej polityki zarządzania ryzykiem cyberbezpieczeństwa. Kluczowe wymagania techniczne i organizacyjne obejmują następujące obszary:
- Zarządzanie ryzykiem: Organizacja musi posiadać formalną, udokumentowaną politykę zarządzania ryzykiem cyberbezpieczeństwa zatwierdzoną przez zarząd. Ocena ryzyka musi być przeprowadzana co najmniej raz w roku oraz po każdej istotnej zmianie w środowisku.
- Zgłaszanie incydentów: Znaczące incydenty muszą być zgłaszane do krajowego organu (CSIRT/organ nadzorczy) w ściśle określonych terminach: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełna notyfikacja w ciągu 72 godzin, raport końcowy w ciągu jednego miesiąca.
- Bezpieczeństwo łańcucha dostaw: Organizacja musi oceniać i zarządzać ryzykami cyberbezpieczeństwa swoich dostawców i partnerów. Wymaga to przeprowadzenia audytów dostawców IT, weryfikacji ich polityk bezpieczeństwa oraz włączenia wymagań NIS2 do umów z dostawcami.
- Kontrola dostępu i MFA: Wieloskładnikowe uwierzytelnianie jest wymagane dla wszystkich kont uprzywilejowanych. Zasada najmniejszych uprawnień musi być stosowana konsekwentnie w całej organizacji.
- Szyfrowanie: Dane wrażliwe muszą być szyfrowane zarówno w trakcie przesyłania (TLS 1.2 lub nowszy), jak i w spoczynku. Organizacja powinna posiadać inwentarz danych wrażliwych i dokumentować stosowane mechanizmy szyfrowania.
- Ciągłość działania: Plany ciągłości działania (BCP) i odtwarzania po awarii (DRP) muszą być udokumentowane, regularnie testowane i zatwierdzone przez zarząd. Szczególny nacisk kładziony jest na możliwość utrzymania operacji po incydencie cybernetycznym.
NIS2 wymaga też wdrożenia procedur zarządzania podatnościami: regularne skanowanie, priorytetyzacja i terminowe usuwanie podatności w systemach krytycznych. Organizacje muszą zapewnić szkolenia z zakresu cyberbezpieczeństwa dla całego personelu oraz specjalistyczne szkolenia dla zarządu.
Kary za brak zgodności
Sankcje za naruszenie NIS2 są znacznie surowsze niż w przypadku NIS1 i porównywalne z karami RODO. Dla podmiotów kluczowych maksymalna kara administracyjna wynosi do 10 mln euro lub 2% łącznego rocznego obrotu ogólnoświatowego — w zależności od tego, która kwota jest wyższa. Dla podmiotów ważnych maksymalna kara wynosi do 7 mln euro lub 1,4% obrotu ogólnoświatowego.
Szczególnie istotnym novum jest wprowadzenie osobistej odpowiedzialności kadry kierowniczej. NIS2 explicite stanowi, że osoby fizyczne pełniące funkcje zarządcze mogą być pociągnięte do osobistej odpowiedzialności za naruszenia cyberbezpieczeństwa wynikające z zaniedbania lub rażącego niedbalstwa. W praktyce oznacza to, że członkowie zarządu, dyrektorzy generalnie i dyrektorzy operacyjni mogą ponosić osobistą odpowiedzialność finansową lub mogą być pozbawieni prawa do pełnienia funkcji kierowniczych.
Organy nadzorcze zyskały również nowe uprawnienia: prawo do przeprowadzania audytów, żądania dowodów zgodności, wydawania wiążących instrukcji naprawczych oraz zawieszania certyfikatów i licencji. W przypadku podmiotów kluczowych organy mogą stosować nadzór proaktywny bez konieczności wykazania naruszenia.
Jak wdrożyć NIS2 krok po kroku
Wdrożenie NIS2 należy traktować jako projekt z jasno określonymi etapami, a nie jednorazową inicjatywę. Poniżej przedstawiamy praktyczną ścieżkę wdrożeniową:
- Krok 1 — Analiza luk (Gap Analysis): Porównaj obecne środki bezpieczeństwa z wymaganiami NIS2. Zidentyfikuj obszary wymagające wzmocnienia w zakresie polityk, procesów i kontroli technicznych. Wynik gap analysis powinien posłużyć jako podstawa planu działań naprawczych.
- Krok 2 — Ocena ryzyka: Przeprowadź formalną ocenę ryzyka cyberbezpieczeństwa obejmującą identyfikację aktywów, zagrożeń, podatności i wpływu. Wynikiem powinna być macierz ryzyka z priorytetyzowanymi działaniami naprawczymi.
- Krok 3 — Dokumentacja polityk: Opracuj lub zaktualizuj kluczowe dokumenty: politykę bezpieczeństwa informacji, plan reagowania na incydenty, plan ciągłości działania i odtwarzania po awarii oraz politykę zarządzania dostawcami.
- Krok 4 — Kontrole techniczne: Wdróż wymagane kontrole: zarządzanie tożsamością i MFA, zarządzanie podatnościami i patchami, segmentację sieci, testowanie kopii zapasowych i szyfrowanie danych.
- Krok 5 — Szkolenia: Przeprowadź szkolenia uświadamiające dla wszystkich pracowników oraz dedykowane szkolenia z odpowiedzialności NIS2 dla zarządu. Dokumentuj ukończenie szkoleń.
- Krok 6 — Bezpieczeństwo dostawców: Dokonaj przeglądu umów z kluczowymi dostawcami IT, przeprowadź oceny bezpieczeństwa i włącz wymagania NIS2 do nowych umów i aneksów.
Wdrożenie NIS2 to ciągły proces zarządzania zgodnością. Regularne audyty wewnętrzne, testy planów reagowania na incydenty oraz coroczne przeglądy oceny ryzyka są niezbędne do utrzymania zgodności. Standardy takie jak Zero Trust i ISO 27001 stanowią naturalną podstawę dla wdrożenia NIS2 — organizacje z ISO 27001 mają ułatwioną ścieżkę do zgodności.
Jak ExColo może pomóc
ExColo oferuje kompleksowe wsparcie w osiągnięciu zgodności z dyrektywą NIS2 — od pierwszej oceny luk aż po wdrożenie kontroli technicznych i przygotowanie dokumentacji wymaganej przez organy nadzorcze.
Nasze podejście obejmuje: przeprowadzenie gap analysis względem wymagań NIS2, opracowanie oceny ryzyka i planu działań naprawczych, przygotowanie polityki bezpieczeństwa informacji i planu reagowania na incydenty, wdrożenie kontroli technicznych (zarządzanie tożsamością, MFA, segmentacja sieci), a także szkolenia dla zarządu i personelu IT. Współpracujemy zarówno z podmiotami kluczowymi, jak i ważnymi w rozumieniu NIS2.
Nie czekaj na pierwszą kontrolę ani na incydent — skontaktuj się z nami, aby zaplanować ocenę zgodności z NIS2: formularz kontaktowy ExColo.
