NIS 2 – co to jest i kogo dotyczy? W niniejszym artykule przybliżamy kolejną dyrektywę UE w zakresie cyberbezpieczeństwa.

NIS. Prawo w zakresie cyberbezpieczeństwa

NIS to dyrektywa Unii Europejskiej (UE) z 2016 roku. NIS jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa i nakłada na państwa członkowskie szereg obowiązków, obliguje państwa do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy.
Polska realizuje zapisy dyrektywy NIS przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa z 28 sierpnia 2018 roku (w skrócie UoKSC).
Dyrektywa ta nakłada na państwa członkowskie UE obowiązek ustanowienia krajowych ram regulacyjnych w zakresie bezpieczeństwa sieci i systemów informatycznych oraz określa wymagania w zakresie zapobiegania i reagowania na incydenty cybernetyczne.

Tutaj – jak prawidłowo wdrożyć Politykę Bezpieczeństwa Informacji (PBI) zgodnie z Ustawą o KSC.

NIS 2. Wdrożenie odpowiednich środków zabezpieczenia sieci i systemów informatycznych

W związku z tym NIS 2 nakłada obowiązek wdrożenia odpowiednich środków zabezpieczenia na podmioty z sektorów krytycznych, takie jak dostawcy usług telekomunikacyjnych, energetycznych, transportowych, mediów (wodociągi, gazownie), usług cyfrowych (serwerownie), opieki zdrowotnej (szpitale) i finansowych (banki, SKOK-i, Kasy).

Wdrożenie NIS 2 dotyczy także operatorów usług istotnych dla państwa (Operatorzy Podmiotów Systemowych – OPS), takich jak operatorzy sieci przesyłowych, operatorzy gazociągów, operatorzy systemów ciepłowniczych, operatorzy elektroenergetycznych systemów dystrybucyjnych, operatorzy magazynów podziemnych gazu, a także innych operatorów, których działalność jest kluczowa dla funkcjonowania państwa.
W skrócie NIS 2 dotyczy podmiotów z sektorów krytycznych oraz operatorów usług istotnych dla państwa, a także podmiotów z sektorów innych niż krytyczne, ale uznanych za istotne z punktu widzenia bezpieczeństwa sieci i systemów informatycznych.

Najważniejsze informacje o NIS 2

Dyrektywa NIS 2:

• ustawa gwarantuje, że będą przestrzegane przez podmioty kluczowe obowiązki określone w dyrektywie. Organy właściwe, powołane do nadzoru nad systemem cyberbezpieczeństwa, otrzymają szereg instrumentów: środki nadzoru i środki egzekwowania przepisów. Wszystkie środki, zarówno te nakładane na podmioty kluczowe, jak i ważne, mają być skuteczne, proporcjonalne, odstraszające i nakładane stosownie do indywidualnego przypadku;
• wprowadza możliwość nakładania kar na podmioty, które nie wywiązują się z nałożonych obowiązków. Wysokość kar będzie zależała od rodzaju podmiotu. I tak:
  • w przypadku tzw. podmiotów z sektorów kluczowych (lista poniżej) będą to kary w wysokości do 10 mln EUR lub 2% łącznego światowego obrotu w poprzednim roku,
  • natomiast dla tzw. podmiotów z sektorów ważnych (lista poniżej) do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku, przy czym w obu przypadkach, zastosowanie ma kwota wyższa;
• nakłada większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach,
• testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania;
• wprowadza obowiązek raportowania incydentów do CSIRT (CSIRT NASK, CSIRT GOV i CSIRT MON);
• wprowadza odpowiedzialność dla kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie;
• przeprowadzanie raz na dwa lata audytów własnych stosowanych zabezpieczeń;
• Polska ma czas do października 2024 roku na aktualizację ustawy UoKSC.

NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia również Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni, która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie UE.

NIS 2. Kogo dotyczy?

Poniżej znajduje się lista sektorów. Podmioty w nich działające są zobowiązane do wdrożenia NIS 2.

Załącznik I – sektory (podmioty) kluczowe

• Energetyka
• Transport
• Bankowość
• Infrastruktura rynków finansowych
• Opieka zdrowotna
• Woda pitna
• Ścieki
• Zarządzanie usługami ICT (między przedsiębiorstwami)
  • dostawcy usług zarządzanych
  • dostawcy usług zarządzanych w zakresie bezpieczeństwa
• Podmioty administracji publicznej,
• Przestrzeń kosmiczna
• Infrastruktura cyfrowa
  • dostawcy punktu wymiany ruchu internetowego
  • dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw
  • rejestry nazw TLD
  • dostawcy usług chmurowych
  • dostawcy usług ośrodka przetwarzania danych
  • dostawcy sieci dostarczania treści
  • dostawcy usług zaufania
  • dostawcy publicznych sieci łączności elektronicznej
  • dostawcy publicznie dostępnych usług łączności elektronicznej

Załącznik II – sektory (podmioty) ważne

• Usługi pocztowe i kurierskie
• Gospodarowanie odpadami
• Dostawcy usług cyfrowych
  • dostawcy internetowych platform handlowych
  • dostawcy wyszukiwarek internetowych
  • dostawcy platform usług sieci społecznościowych
• Badania naukowe
• Produkcja, wytwarzanie i dystrybucja chemikaliów
• Produkcja, przetwarzanie i dystrybucja żywności
• Produkcja
  • wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
  • komputerów, wyrobów elektronicznych i optycznych
  • produkcja urządzeń elektrycznych
  • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
  • produkcja pojazdów samochodowych, przyczep i naczep
  • produkcja pozostałego sprzętu transportowego

Treść dyrektywy NIS 2 dostępna jest tutaj: Dziennik Urzędowy Unii Europejskiej L333/1, rocznik 65 [wydanie polskie, 27.12.2022]

Do pobrania:

W formacie pdf:

Zapraszamy do współpracy

Zobacz więcej:

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Jak przeprowadzić szkolenie z cyberbezpieczeństwa w urzędzie? Zakres i program

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Polecamy artykuły: