Wymagania NIS2 w Polsce – Kompletny przewodnik dla organizacji
Dyrektywa NIS2 w Polsce transponowana przez nowelizację KSC. Przewodnik po 10 środkach bezpieczeństwa, harmonogramie, karach i odpowiedzialności zarządu.
Dyrektywa NIS2 (UE 2022/2555) to zaktualizowane unijne ramy cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Zastępuje pierwotną dyrektywę NIS i wprowadza bardziej rygorystyczne wymagania dotyczące nadzoru nad cyberbezpieczeństwem, zarządzania ryzykiem, raportowania incydentów, bezpieczeństwa łańcucha dostaw oraz ciągłości działania.
Poniższa lista kontrolna podsumowuje najważniejsze wymagania NIS2, które organizacje powinny uwzględnić, przygotowując się do zgodności z przepisami w 2026 roku.
Kogo dotyczy NIS2?
NIS2 obejmuje organizacje działające w 18 krytycznych i ważnych sektorach w Unii Europejskiej. Należą do nich między innymi: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna, usługi pocztowe i kurierskie, gospodarowanie odpadami, chemikalia, żywność, produkcja wybranych produktów krytycznych, dostawcy usług cyfrowych oraz badania naukowe.
Dyrektywa wyróżnia dwie główne kategorie podmiotów:
Podmioty kluczowe: zazwyczaj duże organizacje działające w sektorach o wysokiej krytyczności, a także wybrane podmioty świadczące szczególnie istotne usługi, które mogą podlegać NIS2 niezależnie od wielkości.
Podmioty ważne: pozostałe średnie i duże organizacje działające w sektorach objętych NIS2, które nie kwalifikują się jako podmioty kluczowe.
Co do zasady NIS2 obejmuje średnie i duże organizacje, czyli zazwyczaj podmioty zatrudniające co najmniej 50 osób lub osiągające roczny obrót i/lub sumę bilansową powyżej 10 mln euro. Istnieją jednak wyjątki, a każde państwo członkowskie UE wdraża NIS2 do prawa krajowego, dlatego zakres obowiązków może się różnić w zależności od jurysdykcji.
Lista kontrolna zgodności z NIS2
1. Potwierdź klasyfikację swojej organizacji
Pierwszym krokiem jest ustalenie, czy organizacja działa w sektorze objętym NIS2 oraz czy kwalifikuje się jako podmiot kluczowy lub ważny.
Należy sprawdzić:
- sektor działalności i świadczone usługi,
- wielkość organizacji oraz progi finansowe,
- ewentualne wyjątki od kryterium wielkości,
- krajowe przepisy wdrażające NIS2 w każdym właściwym państwie UE,
- obowiązki rejestracyjne wobec właściwych organów krajowych.
2. Przypisz odpowiedzialność na poziomie zarządu
Zgodnie z art. 20 NIS2 organy zarządzające odpowiadają za zatwierdzanie i nadzorowanie środków zarządzania ryzykiem w cyberbezpieczeństwie.
Zarządy i kadra kierownicza powinny:
- zatwierdzać polityki cyberbezpieczeństwa i środki zarządzania ryzykiem,
- nadzorować ich wdrożenie,
- odbywać szkolenia z zakresu cyberbezpieczeństwa,
- regularnie analizować raporty dotyczące ryzyka i zgodności,
- dokumentować decyzje, zatwierdzenia i działania nadzorcze.
Cyberbezpieczeństwo powinno być traktowane jako element ładu organizacyjnego, a nie wyłącznie jako zadanie działu IT.
3. Wdroż środki zarządzania ryzykiem zgodnie z art. 21 NIS2
Art. 21 NIS2 wymaga wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych oraz organizacyjnych służących zarządzaniu ryzykiem w cyberbezpieczeństwie.
Środki te obejmują między innymi:
- analizę ryzyka i polityki bezpieczeństwa systemów informacyjnych,
- procedury obsługi incydentów,
- ciągłość działania i odtwarzanie po awarii,
- zarządzanie kopiami zapasowymi,
- bezpieczeństwo łańcucha dostaw,
- bezpieczeństwo przy nabywaniu, rozwijaniu i utrzymywaniu systemów,
- obsługę i ujawnianie podatności,
- podstawowe praktyki higieny cyberbezpieczeństwa oraz szkolenia,
- polityki dotyczące kryptografii i szyfrowania,
- bezpieczeństwo zasobów ludzkich,
- kontrolę dostępu i zarządzanie aktywami,
- stosowanie uwierzytelniania wieloskładnikowego oraz bezpiecznej komunikacji tam, gdzie jest to właściwe.
Organizacja powinna być w stanie wykazać, że środki te nie istnieją wyłącznie w dokumentach, ale są faktycznie wdrożone, testowane i regularnie przeglądane.
4. Przygotuj procedury raportowania incydentów
NIS2 wprowadza ścisłe terminy zgłaszania istotnych incydentów.
Najważniejsze etapy raportowania to:
- w ciągu 24 godzin: wczesne ostrzeżenie,
- w ciągu 72 godzin: zgłoszenie incydentu wraz ze wstępną oceną,
- w ciągu miesiąca od zgłoszenia incydentu: raport końcowy.
Właściwe organy lub CSIRT mogą również wymagać raportów pośrednich albo raportów z postępów obsługi incydentu.
Za istotny incydent uznaje się taki, który powoduje lub może spowodować poważne zakłócenie operacyjne, stratę finansową albo znaczną szkodę materialną lub niematerialną dla innych osób lub organizacji.
5. Zarządzaj bezpieczeństwem łańcucha dostaw
NIS2 wymaga zarządzania ryzykiem cyberbezpieczeństwa związanym z dostawcami i usługodawcami.
Praktyczne działania obejmują:
- identyfikację krytycznych dostawców,
- ocenę poziomu cyberbezpieczeństwa dostawców,
- wprowadzenie wymagań cyberbezpieczeństwa do umów,
- określenie obowiązków dostawców w zakresie zgłaszania incydentów,
- monitorowanie bezpieczeństwa dostawców w czasie,
- przegląd uprawnień dostępu i zależności technologicznych,
- przechowywanie dowodów należytej staranności wobec dostawców.
Bezpieczeństwo łańcucha dostaw powinno być częścią procesów zakupowych, zarządzania dostawcami i zarządzania ryzykiem.
6. Przygotuj ciągłość działania i odtwarzanie po awarii
Organizacje powinny być przygotowane do utrzymania lub odtworzenia usług w trakcie incydentów cyberbezpieczeństwa oraz po ich zakończeniu.
Kluczowe działania obejmują:
- utrzymywanie przetestowanych procedur tworzenia kopii zapasowych,
- określenie celów czasu odtworzenia, czyli RTO,
- określenie celów punktu odtworzenia, czyli RPO,
- przygotowanie planów odtwarzania po awarii,
- ustanowienie procedur zarządzania kryzysowego,
- regularne testowanie i aktualizowanie planów ciągłości działania,
- dokumentowanie wyników testów i działań naprawczych.
7. Utrzymuj dokumentację i dowody zgodności
Zgodność z NIS2 opiera się na dowodach. Same polityki i deklaracje nie wystarczą, choć oczywiście wiele organizacji będzie próbowało udawać, że wystarczą.
Organizacja powinna utrzymywać:
- oceny ryzyka,
- polityki i procedury bezpieczeństwa,
- dokumentację obsługi incydentów,
- oceny dostawców,
- inwentarze aktywów,
- przeglądy uprawnień dostępu,
- dokumentację zarządzania podatnościami,
- rejestry szkoleń,
- wyniki testów kopii zapasowych i odtwarzania po awarii,
- zatwierdzenia zarządu,
- dowody audytowe.
Centralne repozytorium dowodów ułatwia przygotowanie do nadzoru, audytów i wewnętrznych przeglądów zgodności.
8. Zarejestruj się u właściwego organu, jeśli jest to wymagane
Niektóre podmioty mogą być zobowiązane do rejestracji lub przekazania informacji właściwemu organowi krajowemu.
Może to dotyczyć między innymi:
- dostawców usług DNS,
- rejestrów nazw domen najwyższego poziomu,
- dostawców usług chmurowych,
- dostawców usług centrów danych,
- dostawców sieci dostarczania treści,
- dostawców usług zarządzanych,
- dostawców zarządzanych usług bezpieczeństwa,
- internetowych platform handlowych,
- wyszukiwarek internetowych,
- platform usług sieci społecznościowych.
Procedury rejestracyjne, terminy i wymagany zakres informacji różnią się w zależności od państwa członkowskiego.
Kary i egzekwowanie NIS2
NIS2 przyznaje organom krajowym silniejsze uprawnienia nadzorcze i egzekucyjne.
Podmioty kluczowe mogą podlegać proaktywnemu nadzorowi, obejmującemu między innymi audyty, kontrole i żądania przedstawienia dowodów. Podmioty ważne zasadniczo podlegają nadzorowi reaktywnemu, uruchamianemu w przypadku dowodów lub przesłanek niezgodności.
Administracyjne kary pieniężne mogą wynosić:
- dla podmiotów kluczowych: do 10 mln euro albo 2% całkowitego rocznego światowego obrotu, zależnie od tego, która kwota jest wyższa,
- dla podmiotów ważnych: do 7 mln euro albo 1,4% całkowitego rocznego światowego obrotu, zależnie od tego, która kwota jest wyższa.
Prawo krajowe może przewidywać dodatkowe środki egzekucyjne i szczegółowe procedury nadzoru.
Wdrożenie krajowe może się różnić
NIS2 jest dyrektywą, dlatego każde państwo członkowskie wdraża ją do prawa krajowego. Oznacza to, że zakres obowiązków, terminy rejestracji, kanały raportowania, właściwe organy oraz okresy przejściowe mogą różnić się między państwami.
Organizacje działające w kilku krajach powinny sprawdzić lokalne przepisy wdrażające NIS2 w każdej właściwej jurysdykcji, w tym w Polsce, Niemczech, Czechach oraz na innych istotnych rynkach UE.
Wybrane podmioty cyfrowe i ICT powinny również przeanalizować rozporządzenie wykonawcze Komisji (UE) 2024/2690, które doprecyzowuje środki zarządzania ryzykiem cyberbezpieczeństwa oraz kryteria istotnego incydentu dla określonych kategorii dostawców.
Jak Quantifier pomaga w zgodności z NIS2?
Quantifier.ai pomaga organizacjom przygotować się do zgodności z NIS2 i zarządzać nią w ramach platformy GRC opartej na sztucznej inteligencji.
Quantifier wspiera:
- automatyczną analizę luk względem wymagań NIS2,
- mapowanie kontroli do art. 21,
- oceny ryzyka cyberbezpieczeństwa,
- przepływy pracy związane z raportowaniem incydentów,
- zarządzanie ryzykiem dostawców,
- śledzenie dowodów ciągłości działania,
- ciągłe monitorowanie zgodności,
- dokumentację gotową do audytu.
Dzięki Quantifier organizacje mogą zastąpić rozproszone arkusze kalkulacyjne i ręczne śledzenie zgodności uporządkowanym, stale monitorowanym programem zgodności z NIS2.
Umów demo i sprawdź, jak Quantifier może wesprzeć gotowość Twojej organizacji do NIS2.
FAQ
Kogo dotyczy NIS2?
NIS2 dotyczy średnich i dużych organizacji działających w objętych dyrektywą sektorach krytycznych i ważnych w Unii Europejskiej. Niektóre podmioty mogą podlegać NIS2 niezależnie od wielkości, w zależności od swojej roli i przepisów krajowych.
Jakie są główne wymagania NIS2?
Główne wymagania obejmują nadzór nad cyberbezpieczeństwem, zarządzanie ryzykiem, raportowanie incydentów, bezpieczeństwo łańcucha dostaw, ciągłość działania, dokumentację oraz współpracę z właściwymi organami krajowymi.
Jaki jest harmonogram raportowania incydentów w NIS2?
NIS2 wymaga wczesnego ostrzeżenia w ciągu 24 godzin, zgłoszenia incydentu w ciągu 72 godzin oraz raportu końcowego w ciągu miesiąca od zgłoszenia incydentu.
Jakie są kary za niezgodność z NIS2?
Podmioty kluczowe mogą otrzymać karę do 10 mln euro albo 2% światowego rocznego obrotu. Podmioty ważne mogą otrzymać karę do 7 mln euro albo 1,4% światowego rocznego obrotu. W obu przypadkach stosuje się wyższą z tych wartości.