Kto podlega pod NIS2?

Dyrektywa NIS2 (Dyrektywa w sprawie bezpieczeństwa sieci i informacji) została przyjęta przez Unię Europejską w celu wzmocnienia cyberbezpieczeństwa w państwach członkowskich. Nowe przepisy rozszerzają zakres podmiotów objętych regulacjami w porównaniu do poprzedniej wersji dyrektywy NIS z 2016 roku. NIS2 wprowadza podział na dwa główne typy podmiotów:

  • Podmioty kluczowe – organizacje działające w sektorach o krytycznym znaczeniu dla funkcjonowania państwa i społeczeństwa.

  • Podmioty ważne – organizacje, które świadczą usługi istotne dla gospodarki i społeczeństwa, ale ich zakłócenie nie ma tak poważnych konsekwencji jak w przypadku podmiotów kluczowych.

Sektory objęte dyrektywą NIS2

1. Energetyka i infrastruktura krytyczna

Firmy zajmujące się produkcją, dystrybucją oraz zarządzaniem energetyką, gazem, ropą naftową, a także innymi kluczowymi zasobami. Zakłócenie ich działalności może prowadzić do poważnych konsekwencji dla funkcjonowania państwa.

2. Transport

Przemieszczanie ludzi i towarów, w tym transport lotniczy, kolejowy, morski oraz drogowy, który jest niezbędny do sprawnego funkcjonowania gospodarki. Zakłócenie w tym sektorze może prowadzić do paraliżu transportowego i logistycznego.

3. Sektor finansowy

Banki, instytucje finansowe, firmy ubezpieczeniowe oraz inne podmioty zajmujące się obrotem środkami finansowymi. Zakłócenie ich działalności może prowadzić do kryzysu finansowego i utraty zaufania do systemu finansowego.

4. Ochrona zdrowia

Szpitale, kliniki, organizacje zajmujące się ochroną zdrowia, które muszą zarządzać danymi wrażliwymi i zapewniać ciągłość dostępu do usług medycznych. Zakłócenie w tym sektorze może zagrażać życiu pacjentów.

5. Woda i gospodarka ściekowa

Firmy odpowiedzialne za zarządzanie zasobami wodnymi oraz systemami kanalizacyjnymi, które stanowią fundament funkcjonowania społeczności. Zakłócenie ich działalności może prowadzić do kryzysu sanitarnego.

6. Infrastruktura cyfrowa

Dostawcy usług IT, dostawcy chmurowych usług obliczeniowych, centra danych, a także dostawcy platform cyfrowych. Zakłócenie ich działalności może prowadzić do paraliżu cyfrowego gospodarki.

7. Administracja publiczna

Instytucje państwowe i rządowe, które przetwarzają dane osobowe obywateli i świadczą usługi publiczne, w tym obronność, bezpieczeństwo publiczne i sprawiedliwość. Zakłócenie ich działalności może prowadzić do destabilizacji państwa.

8. Podmioty ważne (średnie firmy)

Organizacje średniej wielkości, które mogą być uznane za istotne z punktu widzenia infrastruktury krytycznej i usług, które oferują. Choć nie są klasyfikowane jako podmioty kluczowe, ich działalność ma istotne znaczenie dla funkcjonowania gospodarki i społeczeństwa.

Obowiązki wynikające z NIS2

Dyrektywa NIS2 nakłada na objęte nią podmioty szereg obowiązków, w tym:

  • Zarządzanie ryzykiem cyberzagrożeń – opracowanie i wdrożenie systemów zarządzania ryzykiem, które pozwolą na identyfikację, ocenę i reagowanie na zagrożenia w zakresie cyberbezpieczeństwa.

  • Ochrona danych – zapewnienie odpowiednich środków ochrony danych osobowych i innych wrażliwych informacji.

  • Reagowanie na incydenty – opracowanie procedur reagowania na incydenty bezpieczeństwa, w tym ich zgłaszanie do odpowiednich organów w wymaganych terminach.

  • Ciągłość działania – opracowanie planów ciągłości działania, które zapewnią minimalizację skutków zakłóceń w działalności.

  • Współpraca z organami nadzoru – współpraca z krajowymi i unijnymi organami nadzoru w zakresie cyberbezpieczeństwa.

Kary za nieprzestrzeganie NIS2

Naruszenie przepisów dyrektywy NIS2 może prowadzić do poważnych konsekwencji prawnych i finansowych. W zależności od charakteru i skali naruszenia, kary mogą wynosić nawet do 10 milionów euro lub 2% globalnego rocznego obrotu firmy, w zależności od tego, która kwota jest wyższa .

Jak sprawdzić, czy Twoja firma podlega NIS2?

Aby sprawdzić, czy Twoja firma podlega pod dyrektywę NIS2, należy:

  1. Określić sektor działalności – sprawdzić, czy firma działa w jednym z sektorów objętych dyrektywą.

  2. Ocenić wielkość przedsiębiorstwa – sprawdzić, czy firma spełnia kryteria dotyczące liczby pracowników i obrotu finansowego.

  3. Dokonać samodzielnej oceny – przeprowadzić ocenę, czy działalność firmy ma kluczowe znaczenie dla funkcjonowania państwa lub społeczeństwa.

W przypadku wątpliwości, warto skonsultować się z ekspertem ds. cyberbezpieczeństwa lub prawnikiem specjalizującym się w regulacjach NIS2.

Jeśli potrzebujesz dodatkowych informacji lub pomocy w dostosowaniu systemów do wymogów NIS2, skontaktuj się z nami. Nasz zespół ekspertów pomoże Ci w zapewnieniu zgodności z nowymi regulacjami i ochronie Twojej firmy przed cyberzagrożeniami.