Blog

NIS2 — co musisz wiedzieć przed wdrożeniem

Michał Mojsenowicz
NIS2KSCCompliance

Czym jest NIS2?

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijna regulacja, która rozszerza i zaostrza wymogi cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. W Polsce jej implementacja następuje poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Kogo dotyczy?

NIS2 znacząco rozszerza katalog podmiotów objętych regulacją. Dotyczy nie tylko infrastruktury krytycznej, ale także:

  • Podmioty kluczowe — energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna
  • Podmioty ważne — usługi pocztowe, gospodarka odpadami, produkcja żywności, produkcja chemiczna, usługi cyfrowe

Jeśli Twoja organizacja zatrudnia powyżej 50 pracowników lub osiąga obroty powyżej 10 mln EUR w sektorze objętym dyrektywą — najprawdopodobniej jesteś w zakresie NIS2.

Kluczowe obowiązki

1. Zarządzanie ryzykiem

Organizacje muszą wdrożyć proporcjonalne środki techniczne, operacyjne i organizacyjne do zarządzania ryzykiem cyberbezpieczeństwa. Obejmuje to:

  • Analizę ryzyka i polityki bezpieczeństwa systemów informacyjnych
  • Obsługę incydentów
  • Ciągłość działania i zarządzanie kryzysowe
  • Bezpieczeństwo łańcucha dostaw

2. Raportowanie incydentów

NIS2 wprowadza trójstopniowy system raportowania:

  • Wczesne ostrzeżenie — w ciągu 24 godzin od wykrycia incydentu
  • Powiadomienie o incydencie — w ciągu 72 godzin
  • Raport końcowy — w ciągu miesiąca

3. Odpowiedzialność zarządu

To nowość — zarząd ponosi osobistą odpowiedzialność za zatwierdzanie środków zarządzania ryzykiem i nadzór nad ich wdrożeniem. Oznacza to konieczność szkoleń dla kadry zarządzającej.

Jak się przygotować?

  1. Określ, czy podlegasz — zidentyfikuj, w którym sektorze działasz i jaka jest Twoja klasyfikacja
  2. Przeprowadź gap analysis — oceń obecny stan cyberbezpieczeństwa względem wymogów NIS2
  3. Zbuduj roadmapę — priorytetyzuj działania remediacyjne
  4. Wdróż zarządzanie ryzykiem — formalny proces, dokumentacja, przeglądy
  5. Przygotuj procedury incydentowe — aby spełnić wymagania raportowania 24/72h
  6. Zaangażuj zarząd — szkolenia, raportowanie, formalne zatwierdzenia

Sankcje

Kary za niezgodność mogą sięgać 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych. Dla podmiotów ważnych — 7 mln EUR lub 1,4% obrotu.

Potrzebujesz wsparcia we wdrożeniu NIS2? Skontaktuj się — pomogę ocenić stan przygotowania Twojej organizacji i zaplanować działania.