Dyrektywa NIS2

Czym jest i kogo dotyczy?

Czym jest NIS2?

NIS2

NIS2 (Network and Information Systems Directive 2) to dyrektywa Unii Europejskiej, której głównym celem jest zwiększenie ogólnego poziomu cyberodporności w państwach członkowskich. Ma ona zapewnić, że kluczowe usługi dla gospodarki i społeczeństwa będą lepiej chronione przed cyberzagrożeniami.

W Polsce przepisy NIS2 zostaną wdrożone poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Dyrektywa skupia się na zarządzaniu ryzykiem, zgłaszaniu incydentów, ciągłości działania oraz bezpieczeństwie łańcucha dostaw.

Kogo dotyczy?

W porównaniu do swojej poprzedniczki, dyrektywa NIS2 znacząco rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Klasyfikuje je do dwóch głównych kategorii, na Podmioty Kluczowe i Ważne, które różnią się m.in. poziomem nadzoru i potencjalnymi sankcjami.

Podmioty Kluczowe

Energetyka

Zarządzanie usługami ICT

Woda pitna i ścieki

Banki i insytucje finansowe

Administracja publiczna

Transport

Zdrowie

Infrastruktura cyfrowa

Przestrzeń kosmiczna

Podmioty Ważne

Usługi pocztowe i kurierskie

Gospodarowanie odpadami

Badania naukowe

Produkcja chemikaliów

Dostawcy usług cyfrowych

Produkcja żywności

Produkcja

Kryteria wielkości firmy

NIS2 obejmuje podmioty średnie i duże, działające w wymienionych sektorach. Zgodnie z definicjami UE:

Średnie przedsiębiorstwo

50-249 pracowników i poniżej 50 mln EUR obrotu rocznie
LUB
poniżej 43 mln EUR sumy bilansowanej

Duże
przedsiębiorstwo

250+ pracowników i powyżej 50 mln EUR obrotu rocznie
LUB
powyżej 43 mln EUR sumy bilansowanej

Istnieją ważne wyjątki, gdzie podmioty podlegają pod NIS2 niezależnie od swojej wielkości. Dotyczy to m.in.:

Dostawców publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej.
Dostawców usług zaufania (kwalifikowanych i niekwalifikowanych).
Rejestrów nazw TLD (domen najwyższego poziomu) oraz dostawców usług DNS.
Wybranych podmiotów administracji publicznej.
Podmiotów będących jedynym dostawcą danej usługi kluczowej w państwie członkowskim.
Podmiotów, których zakłócenie działalności mogłoby mieć znaczący wpływ na bezpieczeństwo publiczne, porządek publiczny lub zdrowie publiczne.
Podmiotów uznanych za infrastrukturę krytyczną.

Kary za nieprzestrzeganie obowiązków

Podmioty Kluczowe

Kary maksymalne:
10 000 000 EUR
lub
2% rocznego obrotu

Podmioty Ważne

Kary maksymalne:
7 000 000 EUR
lub
1.4% rocznego obrotu

Oprócz kar finansowych, organy nadzorcze mogą stosować inne środki, takie jak wydawanie wiążących zaleceń, nakładanie audytów czy nawet tymczasowe zawieszanie certyfikacji lub zezwoleń oraz zakazy pełnienia funkcji kierowniczych dla osób odpowiedzialnych za naruszenia.

Wymagania NIS2 w praktyce

NIS2 nakłada na objęte nią podmioty konkretne obowiązki zarządcze i techniczne. W praktyce oznacza to konieczność wdrożenia lub wzmocnienia procesów w następujących obszarach.

Organizacje muszą wdrożyć formalny, udokumentowany i powtarzalny proces zarządzania ryzykiem związanym z ich systemami sieciowymi i informatycznymi. Nie wystarczy reagować na problemy - trzeba proaktywnie identyfikować potencjalne zagrożenia (np. malware, ataki phishingowe, błędy ludzkie, awarie sprzętu), oceniać prawdopodobieństwo ich wystąpienia i potencjalne skutki (finansowe, operacyjne, reputacyjne).

Wymaga to stworzenia rejestru ryzyk, regularnych analiz ryzyka, wyboru i wdrożenia odpowiednich środków bezpieczeństwa (zarówno technicznych, jak np. firewalle, systemy antywirusowe, szyfrowanie, jak i organizacyjnych, np. polityki bezpieczeństwa, procedury zarządzania dostępem). Niezbędne jest również monitorowanie skuteczności tych środków i cykliczne przeglądy całego procesu. Szczególną uwagę należy zwrócić na ryzyko związane z dostawcami.

Organizacje muszą być przygotowane na szybkie i skuteczne reagowanie na incydenty cyberbezpieczeństwa. Wymaga to posiadania procedur nie tylko do wykrywania (np. przez systemy monitoringu SIEM/SOC) i obsługi incydentu (powstrzymanie ataku, przywrócenie systemów), ale również do jego klasyfikacji (oceny istotności) i zgłaszania do odpowiednich organów.

Należy zdefiniować proces zarządzania incydentami, wyznaczyć odpowiedzialne osoby/zespoły (np. wewnętrzny zespół reagowania). Kluczowe jest przestrzeganie bardzo krótkich terminów zgłaszania znaczących incydentów do właściwego CSIRT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego) - wstępne powiadomienie w ciągu 24 godzin od wykrycia, a szczegółowy raport w ciągu 72 godzin. W niektórych przypadkach (np. gdy incydent dotyczy danych osobowych lub może znacząco wpłynąć na odbiorców usług) może być również wymagane powiadomienie osób, których incydent dotyczy.

Organizacje muszą zapewnić, że ich kluczowe usługi będą mogły funkcjonować (lub zostać szybko przywrócone) nawet w przypadku poważnego incydentu cyberbezpieczeństwa (np. ataku ransomware, który zaszyfruje dane, lub ataku DDoS, który zablokuje dostęp do usług online).

Wymaga to opracowania Planów Ciągłości Działania (BCM), które opisują, jak organizacja będzie funkcjonować w trybie awaryjnym, oraz Planów Odtwarzania po Awarii (Disaster Recovery), które precyzują techniczne kroki przywracania systemów IT. Co ważne, plany te muszą uwzględniać specyfikę cyberzagrożeń i być regularnie testowane (np. poprzez ćwiczenia i symulacje), aby sprawdzić ich skuteczność i aktualność.

NIS2 kładzie duży nacisk na fakt, że ryzyko dla organizacji może pochodzić nie tylko z jej wnętrza, ale również od jej dostawców, zwłaszcza tych, którzy dostarczają systemy, oprogramowanie lub usługi ICT (np. dostawcy chmury, firmy tworzące oprogramowanie, dostawcy usług zarządzanych). Organizacje są odpowiedzialne za bezpieczeństwo całego swojego ekosystemu.

Wymaga to identyfikacji kluczowych dostawców ICT, przeprowadzania oceny ryzyka związanego ze współpracą z nimi (np. poprzez ankiety bezpieczeństwa, audyty), a także uwzględniania wymagań cyberbezpieczeństwa w umowach z dostawcami (np. klauzule dotyczące zgłaszania incydentów, prawa do audytu, wymogi dotyczące stosowanych zabezpieczeń). Należy również monitorować poziom bezpieczeństwa dostawców w trakcie trwania współpracy.

Pracownicy są często najsłabszym ogniwem w łańcuchu bezpieczeństwa. NIS2 wymaga, aby organizacje dbały o podnoszenie świadomości i kompetencji swoich pracowników w zakresie cyberzagrożeń.

Należy organizować regularne szkolenia z cyberbezpieczeństwa dla wszystkich pracowników (obejmujące np. zasady bezpiecznego korzystania z poczty, rozpoznawanie phishingu, politykę haseł). Konieczne jest również wdrożenie i egzekwowanie polityk kontroli dostępu (np. zasada minimalnych uprawnień, regularne przeglądy dostępu), aby pracownicy mieli dostęp tylko do tych zasobów, które są im niezbędne do pracy.

Aby skutecznie chronić swoje systemy, organizacje muszą najpierw wiedzieć, co posiadają. Konieczne jest również stosowanie odpowiednich środków technicznych do ochrony danych.

Wymaga to prowadzenia ewidencji kluczowych aktywów ICT (np. serwerów, aplikacji, baz danych), co ułatwia zarządzanie nimi i ocenę ryzyka. Należy również stosować szyfrowanie (kryptografię) tam, gdzie jest to uzasadnione, do ochrony danych w spoczynku (np. na dyskach) i danych w tranzycie (np. podczas przesyłania przez sieć), aby zapewnić ich poufność i integralność.

NIS2 wyraźnie wskazuje, że cyberbezpieczeństwo nie jest już tylko kwestią techniczną, ale strategicznym elementem zarządzania organizacją. Kierownictwo (zarząd, rada nadzorcza) ponosi bezpośrednią odpowiedzialność za zapewnienie zgodności z przepisami.

Oznacza to, że zarząd musi nadzorować wdrażanie polityk i środków cyberbezpieczeństwa, zatwierdzać strategie zarządzania ryzykiem, zapewniać odpowiednie zasoby (finansowe i ludzkie) na cyberbezpieczeństwo oraz ponosić odpowiedzialność (w tym potencjalnie osobistą w niektórych jurysdykcjach) za rażące zaniedbania w tym obszarze. Kierownictwo musi również odbywać szkolenia z cyberbezpieczeństwa.

Jak BCMLogic One może pomóc w dostosowaniu się do NIS2?

Wdrożenie kompleksowych wymagań NIS2 może być wyzwaniem, zwłaszcza dla organizacji, które do tej pory zarządzały tymi procesami w sposób rozproszony. Zintegrowana platforma GRC, taka jak BCMLogic One, dostarcza narzędzi, które wspierają organizacje w spełnianiu kluczowych obowiązków NIS2 w jednym, spójnym środowisku.

Zarządzanie Ryzykiem

Moduł Zarządzania Ryzykiem w aplikacji BCMLogic ONE umożliwia stworzenie centralnego rejestru ryzyk ICT, powiązanie ich z konkretnymi systemami, usługami i procesami. Platforma wspiera systematyczną ocenę ryzyka (inherentnego i rezydualnego) zgodnie z wybraną metodyką, dokumentowanie istniejących zabezpieczeń oraz tworzenie i monitorowanie Planów Postępowania z Ryzykiem (mitygacji) za pomocą workflow. Funkcjonalność KRI pozwala na bieżące monitorowanie poziomu zagrożeń.

Obsługa Incydentów

Moduł Zarządzania Incydentami zapewnia centralny rejestr do ewidencji wszystkich incydentów bezpieczeństwa. Ułatwia ich kategoryzację, priorytetyzację i powiązanie z zasobami ICT. Moduł wspiera definiowanie planów reakcji (playbooków), zarządzanie zadaniami zespołu reagowania oraz automatyzację komunikacji i eskalacji. Funkcjonalności raportowe i ścieżka audytu ułatwiają przygotowanie wymaganych zgłoszeń do CSIRT w terminach 24h/72h oraz analizę przyczyn źródłowych (RCA).

Bezpieczeństwo Łańcucha Dostaw

Moduł Zarządzania Dostawcami i Moduł Ankietowania i Audytu ułatwia prowadzenie rejestru dostawców ICT, zarządzanie powiązanymi umowami i warunkami SLA. Kluczową funkcją jest wsparcie procesu oceny ryzyka dostawców, np. poprzez wysyłkę i analizę ankiet bezpieczeństwa. Wyniki oceny i status zgodności dostawcy są powiązane z jego kartą w systemie, co wspiera podejmowanie decyzji i monitorowanie ryzyka w łańcuchu dostaw.

Ciągłość Działania

Umożliwia przeprowadzenie Analizy Wpływu na Biznes (BIA) z uwzględnieniem zależności od systemów i usług ICT, co pozwala zidentyfikować krytyczne zasoby cyfrowe. Moduł wspiera tworzenie, zarządzanie (wersjonowanie, workflow akceptacji) i udostępnianie planów ciągłości działania (BCM) oraz planów odtwarzania po awarii (Disaster Recovery) specyficznych dla incydentów cybernetycznych. Funkcjonalność Testowania pozwala na planowanie i dokumentowanie regularnych testów tych planów.

Zrzut ekranu 2025-11-10 163402_edited.jpg

Chcesz dowiedzieć się więcej o tym, jak BCMLogic One może pomóc Twojej organizacji przygotować się na NIS2? Skontaktuj się z nami!