Wymogi NIS2 obejmują średnie i duże przedsiębiorstwa działające w określonych sektorach uznanych za kluczowe lub ważne dla funkcjonowania społeczeństwa i gospodarki UE. Kryteria obejmują m.in. liczbę pracowników (powyżej 50) oraz roczny obrót (powyżej 10 mln EUR). Niektóre małe przedsiębiorstwa mogą również podlegać dyrektywie, jeśli świadczą usługi o istotnym znaczeniu dla społeczeństwa lub gospodarki.

Wymogi NIS2 rozszerzają zakres sektorów objętych regulacjami w porównaniu do poprzednio obowiązujących NIS. Obejmują m.in.:

• •Energetykę
• •Transport
• •Bankowość i infrastrukturę rynków finansowych
• •Opiekę zdrowotną
• •Zaopatrzenie w wodę pitną i gospodarkę ściekową
• •Infrastrukturę cyfrową
• •Administrację publiczną
• •Produkcję i dystrybucję chemikaliów
• •Produkcję żywności
• •Usługi pocztowe i kurierskie
• •Gospodarowanie odpadami
• •Dostawców usług cyfrowych

Aby ocenić, czy Twoja firma podlega KSC, należy:

• •Określić sektor działalności firmy i sprawdzić, czy jest on wymieniony w dyrektywie jako kluczowy lub ważny. Decydujące jest faktyczne prowadzenie działalności w sektorach wymienionych w załącznikach do dyrektywy.

• •Sprawdzić, czy firma spełnia kryteria dotyczące wielkości (liczba pracowników i roczny obrót).

• •Rozważyć znaczenie świadczonych usług dla społeczeństwa i gospodarki. Dostępne są również narzędzia online, takie jak kwestionariusze, które pomagają wstępnie ocenić, czy firma podlega dyrektywie.

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku. Państwa członkowskie Unii Europejskiej miały obowiązek implementować jej przepisy do krajowego porządku prawnego do 17 października 2024 roku. W Polsce wdrożono NIS2 w 2026 r., poprzez nowelizację ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2026 r. poz. 20, z późn. zm).

W przypadku wystąpienia incydentu cyberbezpieczeństwa organizacja powinna uruchomić wcześniej przygotowane procedury reagowania na incydenty, które są kluczowym elementem systemu zarządzania bezpieczeństwem informacji.

W pierwszej kolejności należy niezwłocznie zidentyfikować incydent, ocenić jego skalę oraz potencjalny wpływ na ciągłość działania, integralność systemów i ochronę danych. Proces ten powinien obejmować wstępną analizę techniczną oraz klasyfikację incydentu zgodnie z przyjętymi kryteriami. Równolegle należy podjąć działania mające na celu ograniczenie skutków zdarzenia – np. odizolowanie zainfekowanego systemu, przywrócenie podstawowych funkcji operacyjnych lub uruchomienie planów awaryjnych.

Zgodnie z dyrektywą NIS2, organizacja ma obowiązek zgłoszenia poważnych incydentów bezpieczeństwa do właściwego organu krajowego (np. CSIRT lub innego organu nadzorczego) w określonych przedziałach czasowych – zwykle wstępne zgłoszenie w ciągu 24 godzin, uzupełnione raportem w ciągu 72 godzin oraz raportem końcowym po usunięciu skutków. Wymagane jest również informowanie odbiorców usług, jeżeli incydent mógł mieć wpływ na świadczenie usług kluczowych lub istotnych.

Po opanowaniu sytuacji, organizacja powinna przeprowadzić pogłębioną analizę przyczyn incydentu (root cause analysis), aby zidentyfikować luki, które umożliwiły jego wystąpienie. Na tej podstawie należy wdrożyć odpowiednie działania naprawcze i zapobiegawcze, które mogą obejmować aktualizację polityk bezpieczeństwa, konfiguracji systemów, procedur zarządzania dostępem czy dodatkowe szkolenia dla pracowników.

Kluczowym aspektem jest dokumentowanie wszystkich etapów reagowania na incydent oraz weryfikacja skuteczności podjętych działań. Umożliwia to nie tylko wykazanie zgodności z obowiązkami prawnymi, ale także ciągłe doskonalenie systemu zarządzania bezpieczeństwem informacji.

Podmioty zobowiązane powinny wdrożyć odpowiednie środki techniczne i organizacyjne w celu skutecznego zarządzania ryzykiem związanym z cyberbezpieczeństwem. Obejmuje to m.in. przeprowadzanie analizy ryzyka, opracowanie i stosowanie polityk bezpieczeństwa, skuteczne zarządzanie incydentami, organizację szkoleń dla personelu oraz zabezpieczenie łańcucha dostaw. Istotnym obowiązkiem jest również zgłaszanie poważnych incydentów bezpieczeństwa do właściwych organów krajowych. Należy regularnie przeprowadzać oceny ryzyka oraz audyty bezpieczeństwa, aby zapewnić aktualność i skuteczność zastosowanych środków ochrony. Kluczowe znaczenie ma także współpraca z organami krajowymi oraz innymi podmiotami w zakresie wymiany informacji o zagrożeniach.

Ustawa o krajowym systemie cyberbezpieczeństwa przewiduje surowe kary za nieprzestrzeganie jej postanowień:

• •Dla podmiotów kluczowych: do 10 mln EUR lub 2% rocznego obrotu.
• •Dla podmiotów ważnych: do 7 mln EUR lub 1,4% rocznego obrotu.

Dodatkowo, osoby odpowiedzialne za zarządzanie mogą ponosić odpowiedzialność za naruszenia obowiązków wynikających z dyrektywy.

Zasadniczo wymogi NIS2 dotyczą średnich i dużych przedsiębiorstw. Jednak niektóre małe i mikroprzedsiębiorstwa mogą być objęte regulacjami, jeśli świadczą usługi o istotnym znaczeniu dla społeczeństwa lub gospodarki, takie jak dostawcy usług DNS, rejestratorzy domen czy dostawcy kwalifikowanych usług zaufania.

Różnice między dyrektywą NIS a NIS2 są znaczące i odzwierciedlają rosnącą potrzebę skuteczniejszego podejścia do cyberbezpieczeństwa na poziomie Unii Europejskiej. Dyrektywa NIS2 wprowadza szereg istotnych zmian w porównaniu do swojej poprzedniczki.

Po pierwsze, rozszerzono zakres podmiotowy – nowe przepisy obejmują znacznie więcej sektorów, w tym m.in. usługi pocztowe, gospodarkę odpadami, produkcję wybranych wyrobów (np. farmaceutycznych czy elektronicznych), a także administrację publiczną. Wprowadzono również bardziej precyzyjne kryteria klasyfikacji podmiotów jako „kluczowe" lub „ważne", co ma wpływ na zakres obowiązków i nadzoru.

Po drugie, NIS2 przewiduje bardziej rygorystyczne wymagania w zakresie zarządzania ryzykiem i zgłaszania incydentów. Obowiązki w tym zakresie zostały doprecyzowane i ujednolicone w całej UE, a podmioty muszą m.in. wdrażać konkretne środki zaradcze i raportować poważne incydenty w określonych terminach.

Po trzecie, zwiększono odpowiedzialność członków kadry zarządzającej. Zgodnie z NIS2, są oni nie tylko odpowiedzialni za wdrożenie środków technicznych i organizacyjnych, ale muszą również wykazać zaangażowanie w nadzór nad cyberbezpieczeństwem, w tym poprzez udział w szkoleniach.

Ponadto, nowe przepisy przewidują surowsze sankcje za nieprzestrzeganie obowiązków, w tym administracyjne kary pieniężne, które mogą być dotkliwe – zarówno dla organizacji, jak i osób zarządzających.

Ostatnią kluczową zmianą jest wzmocnienie współpracy i wymiany informacji między państwami członkowskimi, m.in. poprzez utworzenie europejskiej sieci współpracy (EU-CyCLONe) i usprawnienie komunikacji między CSIRT-ami oraz właściwymi organami krajowymi.

Przygotowanie firmy do wdrożenia wymogów NIS2 wymaga kompleksowego podejścia do zarządzania cyberbezpieczeństwem. Pierwszym krokiem powinna być szczegółowa ocena ryzyka, która pozwoli zidentyfikować potencjalne zagrożenia dla ciągłości działania i bezpieczeństwa systemów informacyjnych. Na tej podstawie należy wdrożyć adekwatne środki techniczne i organizacyjne, umożliwiające skuteczne zarządzanie zidentyfikowanymi ryzykami.

Kolejnym istotnym elementem jest opracowanie i wdrożenie procedur zgłaszania incydentów bezpieczeństwa, zgodnych z wymaganiami ustawy o KSC – w tym określenie sposobu klasyfikowania incydentów oraz terminów i trybu ich raportowania do właściwych organów. Równie ważne jest odpowiednie przeszkolenie personelu, nie tylko technicznego, ale również zarządzającego, aby zapewnić świadomość zagrożeń oraz znajomość obowiązujących procedur.

Nie można także pominąć obowiązku utrzymywania kontaktu z właściwymi organami krajowymi oraz uczestnictwa w systemie wymiany informacji o zagrożeniach i incydentach, co stanowi kluczowy element systemu bezpieczeństwa na poziomie europejskim. Regularna aktualizacja działań i dokumentacji w oparciu o zmieniające się wymagania i pojawiające się zagrożenia będzie niezbędna do zapewnienia zgodności z ustawą o KSC.