+48 577 779 296 kontakt@inspektorzyrodo.pl
"

Dyrektywa NIS2

Kto najczęściej korzysta z tej usługi?

– Jednostki Sektora Publicznego

– Operatorzy Usług Kluczowych i podmioty z ustawy o KSC

– Biura rachunkowe, firmy IT, kancelarie, instytucje przetwarzające dane osobowe

Dyrektywa NIS2 to kluczowy akt prawny Unii Europejskiej, który nakłada nowe obowiązki w zakresie cyberbezpieczeństwa na znacznie szerszą grupę podmiotów niż dotychczas.
Jej celem jest wzmocnienie ochrony sieci i systemów informatycznych, zwiększenie odporności organizacji na incydenty i ujednolicenie poziomu bezpieczeństwa w całej UE.

Bezpieczeństwo systemów informacyjnych zgodnie z dyrektywą NIS2
NAPISZ DO NAS

Wprowadzenie do Dyrektywy NIS2

W obliczu rosnących zagrożeń w cyberprzestrzeni Unia Europejska zaktualizowała swoje podejście do ochrony sieci i systemów informatycznych, wprowadzając Dyrektywę NIS2. Jest to następca pierwszej Dyrektywy NIS (Network and Information Systems) z 2016 roku, mający na celu podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich.​

Czym jest Dyrektywa NIS2?

Dyrektywa NIS2, formalnie znana jako Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., ustanawia środki na rzecz osiągnięcia wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Jej celem jest wzmocnienie odporności na cyberzagrożenia poprzez nałożenie na określone podmioty obowiązków w zakresie zarządzania ryzykiem i raportowania incydentów.​

Skąd się wzięła i dlaczego NIS2?

Pierwsza Dyrektywa NIS z 2016 roku była pionierskim krokiem w kierunku ujednolicenia działań na rzecz cyberbezpieczeństwa w UE. Jednakże, dynamiczny rozwój technologii oraz wzrost liczby i zaawansowania cyberataków ujawniły potrzebę jej aktualizacji. Stąd wprowadzenie NIS2 – drugiej wersji dyrektywy, która rozszerza i precyzuje wcześniejsze przepisy, dostosowując je do współczesnych realiów.​

Kluczowe zmiany w porównaniu do NIS1

Dyrektywa NIS2 wprowadza szereg istotnych zmian:​

  • Rozszerzenie zakresu podmiotowego: Obejmuje teraz szerszy wachlarz sektorów, w tym administrację publiczną, usługi pocztowe, gospodarkę odpadami, sektor chemiczny czy produkcję żywności. ​
  • Nowa klasyfikacja podmiotów: Podmioty dzielą się na kluczowe (essential entities) i ważne (important entities), co determinuje zakres ich obowiązków i nadzoru. ​
  • Zwiększone wymagania w zakresie zarządzania ryzykiem: Podmioty muszą wdrożyć odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. ​
  • Obowiązkowe raportowanie incydentów: Wprowadzono szczegółowe procedury zgłaszania incydentów bezpieczeństwa, co ma na celu szybszą reakcję i minimalizację skutków. ​
  • Surowsze sankcje: Wprowadzenie wysokich kar finansowych za nieprzestrzeganie przepisów, co ma na celu zwiększenie skuteczności egzekwowania dyrektywy.

Implementacja NIS2 w Polsce

Państwa członkowskie UE, w tym Polska, są zobowiązane do implementacji przepisów NIS2 do prawa krajowego do 17 października 2024 roku. W Polsce trwają prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która dostosuje krajowe przepisy do wymagań dyrektywy. ​

To wprowadzenie stanowi solidną podstawę do zrozumienia znaczenia Dyrektywy NIS2 oraz konieczności jej wdrożenia w Polsce. W kolejnych sekcjach oferty przedstawimy, jak nasza firma może pomóc Państwa organizacji w przygotowaniu się do nowych wymagań i zapewnieniu zgodności z przepisami.

Dla kogo jest ta usługa?

Zgodnie z Dyrektywą NIS2 oraz planowaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, obowiązki będą dotyczyć szerokiego katalogu podmiotów – również takich, które dotąd nie były objęte przepisami w zakresie cyberbezpieczeństwa.

Podmioty kluczowe (ang. essential entities)

Są to m.in.:

  • organy administracji publicznej i jednostki im podległe (np. JST, urzędy centralne),
  • placówki ochrony zdrowia (szpitale, przychodnie, laboratoria),
  • dostawcy usług wodociągowych, kanalizacyjnych, energetycznych (w tym OSD),
  • operatorzy usług cyfrowych, telekomunikacyjnych i infrastruktury DNS,
  • podmioty transportowe, logistyczne i kurierskie o znaczeniu strategicznym,
  • duże instytucje z sektora finansowego, banki i giełdy.

Dla tych podmiotów obowiązki będą szczególnie rozbudowane i objęte nadzorem.

Bezpieczeństwo usług cyfrowych i transakcji online objętych NIS2

Podmioty ważne (ang. important entities)

To m.in.:

  • firmy informatyczne, hostingowe, cloud computing, software house’y,
  • biura rachunkowe, kancelarie prawne, podmioty przetwarzające dane dla innych,
  • firmy produkcyjne z obszarów: chemia, elektronika, maszyny przemysłowe,
  • dostawcy usług kurierskich, pocztowych, odpadowych – średnie i duże,
  • instytucje badawcze, uczelnie, operatorzy usług online,
  • jednostki i firmy zatrudniające powyżej 50 osób lub o obrocie powyżej 10 mln EUR, działające w sektorach wskazanych w dyrektywie.

W ich przypadku obowiązki są podobne jak w przypadku podmiotów kluczowych, ale nadzór będzie mniej bezpośredni.

Co obejmuje nasza usługa?

Pomagamy Twojej organizacji kompleksowo przygotować się do wdrożenia wymagań wynikających z Dyrektywy NIS2, zanim zostaną nałożone sankcje i obowiązki nadzoru. Działamy krok po kroku – od analizy, przez plan działań, aż po wdrożenie i szkolenia (sprawdź w zakładkach poniżej):

Klasyfikacja podmiotu i analiza zgodności

  • weryfikacja, czy Twoja organizacja podlega dyrektywie NIS2 (jako podmiot kluczowy lub ważny),
  • ocena spełniania kryteriów branżowych i wielkościowych,
  • audyt wstępny (gap analysis) – analiza luk względem wymagań NIS2 i projektowanej nowelizacji ustawy o KSC.

Efekt: otrzymujesz jasną diagnozę – gdzie jesteś, co musisz wdrożyć i w jakim zakresie.

Plan dostosowania do NIS2

  • opracowanie planu działań technicznych i organizacyjnych (roadmapa),
  • harmonogram wdrożenia z uwzględnieniem terminu wejścia w życie przepisów (październik 2024),
  • dostosowanie dokumentacji do wymogów dyrektywy i planowanej ustawy.

Efekt: konkretny plan, który możesz wdrażać etapami – z naszym wsparciem lub samodzielnie.

Wdrożenie środków bezpieczeństwa

  • opracowanie lub aktualizacja polityki bezpieczeństwa informacji i SZBI (w oparciu o ISO/IEC 27001),
  • wprowadzenie zasad zarządzania ryzykiem, dostępami, incydentami i ciągłością działania,
  • przygotowanie wzorów procedur wymaganych przez NIS2 (np. zgłaszania incydentów, oceny dostawców, analizy ryzyk łańcucha dostaw).

Efekt: organizacja wdraża realne środki – nie tylko dokumenty, ale i gotowe rozwiązania.

Szkolenie personelu i zarządu

  • szkolenie wprowadzające dla kadry kierowniczej: odpowiedzialność, nadzór, ryzyka,
  • szkolenie operacyjne dla pracowników i administratorów systemów (cyberbezpieczeństwo, incydenty, reagowanie),
  • przygotowanie materiałów e-learningowych lub webinariów dla większych zespołów.

Efekt: organizacja posiada przeszkoloną kadrę i może to udokumentować przed nadzorem.

Wsparcie we wdrożeniu i dokumentowaniu zgodności

  • wsparcie w kontaktach z właściwym CSIRT (NASK, GOV, MON),
  • przygotowanie organizacji do obowiązków raportowania i audytów,
  • uzupełnienie dokumentacji o wymagane sprawozdania, plany ciągłości działania, rejestry incydentów.

Efekt: gotowość na wejście w życie ustawy i nadzór ze strony państwowych organ

Nasze działania są zgodne z wytycznymi Dyrektywy NIS2 oraz aktualnym kierunkiem legislacyjnym w Polsce. Współpracujemy z ekspertami łączącymi znajomość prawa, IT i bezpieczeństwa.

ZADZWOŃ DO NAS
Analiza procesów i ryzyk w ramach wdrażania NIS2

NIS2 – najczęstsze pytania

Czy moja firma na pewno podlega pod Dyrektywę NIS2?

Nie ma jednego centralnego rejestru – podleganie wynika z branży, wielkości i rodzaju działalności. Zasadniczo, jeśli działasz w sektorze objętym NIS2 i zatrudniasz powyżej 50 pracowników lub masz obrót powyżej 10 mln EUR, możesz być zakwalifikowany jako podmiot ważny lub kluczowy.

W ramach naszej usługi przeprowadzamy weryfikację podmiotu, opartą na kryteriach wskazanych w dyrektywie oraz projektowanych przepisach ustawy o KSC.

Czy obowiązki wynikające z NIS2 już obowiązują?

Jeszcze nie. Polska miała czas do 17 października 2024 r. na wdrożenie dyrektywy do prawa krajowego. Obecnie trwają prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która będzie implementować te przepisy.

Ale… przygotowanie należy zacząć już teraz – wiele obowiązków wymaga wdrożenia procesów, szkoleń i dokumentacji, których nie da się wprowadzić w tydzień.

Jakie obowiązki będą na mnie nałożone?

Podmioty kluczowe i ważne będą zobowiązane m.in. do:

  • wdrożenia systemów zarządzania bezpieczeństwem informacji (SZBI),
  • prowadzenia analiz ryzyka i dokumentowania działań zabezpieczających,
  • zapewnienia ciągłości działania i reagowania na incydenty,
  • zgłaszania poważnych incydentów do właściwego CSIRT (NASK, MON, GOV),
  • przeprowadzania szkoleń i audytów wewnętrznych,
  • raportowania nadzorczego i udokumentowania zgodności.
Czy zarząd firmy ponosi odpowiedzialność?

Tak. NIS2 po raz pierwszy wprost wskazuje na odpowiedzialność kadry zarządzającej za nadzór nad systemami i procesami cyberbezpieczeństwa.
W przypadku zaniedbań – mogą być nakładane sankcje administracyjne i osobiste, szczególnie jeśli incydenty wynikną z braku działań lub świadomego ich zaniechania.

Dlatego ważne jest, aby zarząd wiedział, jaką rolę pełni i jak udokumentować swoją aktywność w tym obszarze.

Czy trzeba mieć specjalne oprogramowanie?

Nie. Dyrektywa NIS2 nie narzuca konkretnych narzędzi, ale wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych.
W praktyce oznacza to, że powinieneś mieć:

  • procedury zarządzania dostępami, backupami i aktualizacjami,
  • kontrolę nad łańcuchem dostaw (w tym nad podwykonawcami IT),
  • narzędzia do zgłaszania i rejestrowania incydentów,
  • dokumentację SZBI – opartą np. na normie ISO/IEC 27001.
Czy RODO już nie wystarcza?

Nie. RODO dotyczy wyłącznie ochrony danych osobowych, natomiast Dyrektywa NIS2 obejmuje całościowe bezpieczeństwo systemów informacyjnych – czyli nie tylko technologii (systemów informatycznych), ale również procedur, ludzi i zasobów związanych z przetwarzaniem informacji.

W rozumieniu NIS2 „systemy informacyjne” to pojęcie szersze – obejmujące zarówno systemy IT, jak i procesy zarządzania informacją.
Dotyczy to również sytuacji, gdzie nie są przetwarzane dane osobowe (np. dane techniczne, operacyjne, produkcyjne).

NIS2 rozszerza zakres obowiązków o takie obszary jak:

  • zarządzanie incydentami,
  • bezpieczeństwo łańcucha dostaw,
  • nadzór nad usługodawcami IT,
  • odpowiedzialność zarządu,
  • i raportowanie do CSIRT.

To komplementarne, ale odrębne obowiązki – nie wystarczy wdrożone RODO, by spełniać wymagania NIS2.

Ile trwa przygotowanie do NIS2?

To zależy od:

  • aktualnego stanu Twojej organizacji,
  • stopnia dojrzałości procedur i dokumentacji,
  • branży i rodzaju działalności.

Przygotowanie uproszczonego SZBI + dokumentacja NIS2 to zazwyczaj 4–6 tygodni, a pełny projekt przygotowujący do nadzoru lub audytu – 2–3 miesiące.
Im wcześniej zaczniemy, tym spokojniej przejdziemy przez cały proces.

Najczęściej zadawane pytania o obowiązki wynikające z dyrektywy NIS2

Dlaczego warto zlecić nam przygotowanie do NIS2?

  • Śledzimy przepisy u źródła – opieramy się wyłącznie na oficjalnych dokumentach UE, rządowych i materiałach NASK.
  • Rozumiemy zarówno prawo, jak i IT – łączymy kompetencje z zakresu cyberbezpieczeństwa, RODO, KRI i systemów informatycznych.
  • Działamy praktycznie – dokumenty, które tworzymy, są zrozumiałe i gotowe do wdrożenia, nie do szuflady.
  • Dostosowujemy zakres do realnych potrzeb – bez przepłacania i sztucznego rozdmuchiwania projektu.
  • Wspieramy od A do Z – od klasyfikacji podmiotu, przez wdrożenie SZBI, po raporty zgodności i przygotowanie do nadzoru.
Zarządzanie zmianą i dokumentacją zgodnie z wymaganiami NIS2
Dokumentacja, formularze i procedury wymagane przez NIS2

Porozmawiaj z nami o NIS2

Skontaktujemy się z Tobą w dniu roboczym w ciągu 24 godzin


Dane rejestrowe naszej firmy:
Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 Regon 380718355 NIP 7010831232