Dyrektywa NIS 2 – ważne zmiany i obowiązki w zakresie cyberbezpieczeństwa

Dyrektywa NIS 2: jakie zmiany wprowadzi dla cyberbezpieczeństwa?

Dyrektywa NIS 2, której propozycję ogłoszono w 2020 roku, doczekała się legislacji. Oznacza to, że Polska ma 20 miesięcy na wdrożenie jej założeń w polskim ustawodawstwie. Dyrektywa jasno określa zasady współpracy międzynarodowej i krajowej. Wprowadza obowiązek raportowania incydentów i zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych.

Silnie odczuwalny w ostatnich latach rozwój cyfryzacji związany jest z wieloma korzyściami biznesowymi i gospodarczymi, ale też zagrożeniami. Wśród najczęstszych zagrożeń można wymienić działania grup przestępczych wyspecjalizowanych w cyberprzestępczości, wyciek danych osobowych i poufnych informacji oraz blokady usług kluczowych. Z tego też względu w 2016 roku Unia Europejska uchwaliła dyrektywę NIS. Zobowiązywała ona państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych. W Polsce była to ustawa o krajowym systemie cyberbezpieczeństwa (KSC).

16 grudnia 2020 roku opublikowano projekt nowej dyrektywy NIS 2, która dwa lata później, czyli 27 grudnia 2022, doczekała się legislacji. Dyrektywa NIS 2 zastępuje obowiązującą i według ekspertów jest też jej surowszą wersją. Precyzyjniej określa obowiązki podmiotów w zakresie cyberbezpieczeństwa pod rygorem surowych konsekwencji, w tym wysokich kar finansowych.

Najważniejsze informacje o dyrektywie NIS 2:

  • Polska ma 20 miesięcy na wdrożenie NIS 2 w polskim ustawodawstwie od daty przyjęcia
  • wprowadza obowiązek raportowania incydentów
  • wprowadza odpowiedzialność dla kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie
  • nakłada większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania

NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia również Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie UE.

Treść dyrektywy NIS 2 dostępna jest tutaj: Dziennik Urzędowy Unii Europejskiej L333/1, rocznik 65 [wydanie polskie, 27.12.2022]

Strefa ERM

Dołącz do darmowego webinaru na temat: „Zmiany dla organizacji w kontekście dyrektywy NIS 2” organizowanego przez PBSG. Zarejestruj się już teraz!

Jesteś zainteresowany? Masz pytania?

Porozmawiajmy o Twoim projekcie!