Wstęp

21 563 – tyle stwierdzonych incydentów bezpieczeństwa miało miejsce w 2022 roku. W  przypadku ataków hackerskich, głównie koncentrowały się one na podatności środowiska Microsoft Exchange Server i służbowych skrzynek pocztowych. Ponadto, od dnia 22 lutego 2022 roku na terenie Rzeczypospolitej Polskiej obowiązuje trzeci z czterech alarmowych stopni dotyczących zagrożenia w cyberprzestrzeni (CHARLIE-CRP)[1].

W związku z rosnącą w ostatnich latach liczbą cyberzagrożeń, Parlament Europejski uchwalił  Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („Dyrektywa NIS 2”).

Dyrektywa NIS 2 zawiera szereg wymagań, które będą musiały być wdrożone przez odpowiednie podmioty, pod rygorem nałożenia kary pieniężnej w kwocie do 10 mln euro.

Celem wprowadzenia Dyrektywy NIS 2 jest podwyższenie poziomu cyfrowego bezpieczeństwa podmiotów wybranych sektorów gospodarki – zdefiniowanych jako kluczowe i ważne.

Kogo dotyczy Dyrektywa NIS 2?

Dyrektywa NIS 2 może objąć podmioty prowadzące działalność w następujących sektorach:

Jak wdrożyć Dyrektywę NIS 2?

Wdrożenie wymagań Dyrektywy NIS 2 ma polegać na wprowadzeniu odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Wprowadzenie tych środków głównie ma na celu odpowiednie zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych.

Wdrożenie tych środków ma obejmować następujące zagadnienia:

Od kiedy będzie obowiązywała Dyrektywa NIS 2?

Dyrektywa NIS 2 powinna zostać wdrożona do polskiego porządku prawnego do dnia 18 października 2024 roku.

Wprowadzenie Dyrektywy NIS 2 nastąpi w drodze ustawy. Obecnie rząd pracuje nad projektem ustawy wdrażającej Dyrektywę NIS 2. Zgodnie z deklaracją wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego, projekt ustawy wdrażającej Dyrektywę NIS 2 powinien zostać zaprezentowany do końca kwietnia 2024 roku.

Niemniej, warto już teraz zweryfikować czy Twoja organizacja jest objęta Dyrektywą NIS 2 i dokonać ewentualnej identyfikacji obszarów i procesów, które będą musiały zostać przeorganizowane w związku z Dyrektywą NIS 2.

Jakie są kary za niewdrożenie Dyrektywy NIS 2?

Naruszenie założeń Dyrektywy NIS 2 będzie mogło skutkować nałożeniem administracyjnej kary pieniężnej.

W przypadku podmiotów sektora kluczowego – może to być kara w wysokości do 10 mln EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym. W przypadku podmiotów sektora ważnego – może to być kara w wysokości do 7 mln EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym.

Podsumowanie

• Zaklasyfikowanie do kategorii podmiotów ważnych lub kluczowych będzie wiązało się z szeregiem obowiązków związanych z zapewnieniem odpowiedniego poziomu cyberbezpieczeństwa danej organizacji.
• Szczegółowe wytyczne w tym zakresie zostaną wstępnie ujęte w projekcie ustawy wdrażającej Dyrektywę NIS 2, który ma zostać udostępniony do końca kwietnia 2024 roku.
• Będziemy na bieżąco monitorować postęp prac nad ustawą i informować o kierunkach wprowadzanych zmian i o stawianych przed uczestnikami rynku nowych wyzwaniach.

[1] Raport o stanie bezpieczeństwa cyberprzestrzeni w roku 2022 przygotowanego przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)