Dyrektywa NIS2 – nowe wymagania w zakresie cyberbezpieczeństwa

8 lutego 2025

W dobie rosnących zagrożeń cybernetycznych Unia Europejska wprowadziła nowe przepisy mające na celu wzmocnienie odporności infrastruktury krytycznej oraz kluczowych sektorów gospodarki. Jednym z najważniejszych aktów prawnych w tej dziedzinie jest dyrektywa NIS2, która zastępuje wcześniejszą dyrektywę NIS i nakłada bardziej rygorystyczne obowiązki na podmioty zobowiązane do zapewnienia cyberbezpieczeństwa.

Założenia dyrektywy NIS2

Dyrektywa NIS2 (ang. Network and Information Security Directive 2) ma na celu zwiększenie poziomu ochrony sieci i systemów informacyjnych na terenie Unii Europejskiej. Kluczowe założenia nowego aktu prawnego to:

Poszerzenie (względem wcześniejszych regulacji) zakresu podmiotów objętych regulacją,
Wprowadzenie szczegółowych wymagań dotyczących zarządzania ryzykiem cybernetycznym,
Przyjęcie zasad dotyczących reagowania na wypadek incydentów cybernetycznych.
Ujednolicenie sankcji za naruszenia przepisów,
Poprawa koordynacji i wymiany informacji między państwami członkowskimi w zakresie cyberbezpieczeństwa.

W tym artykule skupimy się na obowiązkach, które dyrektywa NIS2 nakłada na przedsiębiorców – kwestie działania podmiotów publicznych, wymiany informacji pomiędzy państwami członkowskimi itp. pominiemy.

Uwaga! NIS2 to dyrektywa – to oznacza, że wymagana jest jej implementacja do porządku prawnego poszczególnych państw członkowskich. Innymi słowy, aby stosować wymogi wynikające z dyrektywy, konieczne jest przyjęcie w każdym kraju UE dodatkowej ustawy, która formalnie te wymogi nałoży. W Polsce jest to realizowane w formie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która jest obecnie procedowana.

Branże objęte obowiązkiem zapewnienia cyberbezpieczeństwa

Dyrektywa NIS2 dzieli branże gospodarki na dwa rodzaje sektorów – kluczowe i ważne.

Do sektorów kluczowych należą m.in.:

energetyka – np. elektrownie, sieci gazowe, paliwowe,
transport lotniczy – przewoźnicy lotniczy, kontrola ruchu lotniczego oraz zarządzający portami lotniczymi,
transport kolejowy – przedsiębiorstwa kolejowe i zarządcy infrastruktury kolejowej
transport wodny – armatorzy albo podmioty zarządzające portami,
transport drogowy – organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym oraz operatorzy inteligentnych systemów transportowych,
bankowość i infrastruktura rynków finansowych – operatorzy systemów obrotu (np. giełd),
opieka zdrowotna – szpitale, niektóre laboratoria, podmioty produkujące leki,
infrastruktura cyfrowa – to rozbudowana kategoria, w skład której wchodzą np. dostawcy usług chmurowych, dostawcy punktu wymiany ruchu internetowego, dostawcy usług ośrodka przetwarzania danych, dostawcy usług łączności elektronicznej, które są publicznie dostępne, dostawcy publicznych sieci łączności elektronicznej,
zarządzanie usługami ICT – to dotyczy dostawców usług zarządzanych (czyli np. zarządzania systemami IT klienta, świadczenie usług utrzymaniowych), w tym w zakresie bezpieczeństwa – w praktyce dotyczy to całego szeregu organizacji, które świadczą usługi związane z bieżącym utrzymaniem oprogramowania, serwerów itp. Jeżeli software house świadczy usługi wsparcia we wdrożeniu i utrzymaniu oprogramowania, to też jest podmiotem, który „zarządza usługami ICT”,
podmioty administracji publicznej – na szczeblu centralnym i regionalnym,
przestrzeń kosmiczna – podmioty publiczne i prywatne, które zarządzają infrastrukturą naziemną służącą do badania kosmosu albo wspierają świadczenie usług kosmicznych.

Do sektorów ważnych zaliczamy natomiast:

usługi pocztowe i kurierskie,
gospodarowanie odpadami,
produkcję, wytwarzanie i dystrybucję chemikaliów,
produkcję, przetwarzanie i dystrybucję żywności,
produkcję wyrobów medycznych, w tym wyrobów medycznych do diagnostyki in vitro,
produkcję komputerów, wyrobów elektronicznych i optycznych,
produkcję urządzeń elektrycznych,
produkcję maszyn i urządzeń,
produkcję pojazdów samochodowych, przyczep i naczep,
produkcja pozostałego sprzętu transportowego),
dostawców usług cyfrowych – ta kategoria obejmuje dostawców internetowych platform handlowych (sklepów internetowych), wyszukiwarek internetowych oraz platform usług sieci społecznościowych,
organizacje badawcze prowadzące badania naukowe.

W tym artykule możesz dowiedzieć się więcej o tym jak dyrektywa NIS2 wpływa na branżę produkcyjną: Dyrektywa NIS2 i branża produkcyjna – bezpieczeństwo IT w fabryce

Podmioty kluczowe i ważne

Podmioty podlegające nowym regulacjom dzielą się na dwie kategorie:

Podmioty kluczowe,
Podmioty ważne.

Intuicyjnie moglibyśmy założyć, że podmioty działające w sektorach kluczowych to podmioty kluczowe, a te działające w sektorach ważnych to podmioty ważne.

Natomiast to nie do końca prawda.

Podział ten wygląda bowiem tak:

Podmiot, który działa w sektorze kluczowym i nie jest małym/mikro/średnim przedsiębiorcą (tylko dużym), tj. ma powyżej 250 pracowników lub jego obroty są większe niż 50 milionów euro (ew. wartość aktywów jest większa niż 43 miliony Euro), jest podmiotem kluczowym,
Podmiot, który działa w sektorze kluczowym i jest średnim przedsiębiorcą, tj. ma pomiędzy 50 a 250 pracowników, albo jego obroty mieszczą się w widełkach pomiędzy 10 milionów Euro a 50 milionów Euro (ew. wartość aktywów jest pomiędzy 10 milionów Euro a 43 miliony Euro), jest podmiotem ważnym,
Podmiot, który działa w sektorze ważnym i jest średnim albo dużym przedsiębiorcą jest podmiotem ważnym – niezależnie od wielkości.

Innymi słowy, aby być podmiotem kluczowym, trzeba mieć co najmniej 250 pracowników/obroty powyżej 250 milionów Euro i działać w sektorze kluczowym. Jeśli nie spełniamy tych warunków, a działamy w sektorze kluczowym albo ważnym, jesteśmy „tylko” podmiotem ważnym.

Mali i mikro przedsiębiorcy (tacy, którzy mają poniżej 50 pracowników albo poniżej 10 milionów Euro obrotu) generalnie nie podlegają przepisom dyrektywy NIS2 – z kilkoma drobnymi wyjątkami.

Każda organizacja powinna sama ocenić czy jest podmiotem ważnym albo kluczowym – nie istnieje bowiem mechanizm, w ramach którego jakiś organ państwowy by o tym decydował.

Jeżeli chcesz dowiedzieć się więcej na temat tego jakie podmioty muszą stosować dyrektywę NIS2, zachęcamy do zapoznania się z tym artykułem: Podmioty ważne i kluczowe w dyrektywie NIS2

Obowiązki wynikające z dyrektywy NIS2

Podmioty podlegające nowym przepisom muszą wdrożyć kompleksowe środki w zakresie cyberbezpieczeństwa. NIS 2 dzieli środki bezpieczeństwa na techniczne, organizacyjne i operacyjne. Przyjęcie takich środków powinno zostać oparte o analizę ryzyka, uwzględniającej najnowszy stan wiedzy, odpowiednie normy europejskie lub międzynarodowe oraz ewentualne koszty wdrażania zabezpieczeń.

Wśród szczegółowych obowiązków związanych z cyberbezpieczeństwem znajduje się obowiązek zapewnienia:

polityki dotyczącej analizy ryzyka oraz bezpieczeństwa systemów informatycznych,
obsługi ewentualnych incydentów;
ciągłość działania,
bezpieczeństwa łańcucha dostaw,
bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
polityk i procedur służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa;
polityk i procedur stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
bezpieczeństwa zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Zapewnienie odpowiedniego poziomu cyberbezpieczeństwa

W praktyce aby spełnić wymagania dyrektywy NIS2, podmioty ważne i kluczowe powinny podjąć na przykład następujące działania:

Prowadzenie kontroli (audytów) bezpieczeństwa dostawców usług IT,
Zastosowanie zasad „security by design” – uwzględnienie bezpieczeństwa na etapie projektowania systemów IT,
Audytowanie infrastruktury IT – regularne testy penetracyjne i analiza podatności,
Opracowanie polityki bezpieczeństwa informacji – wdrożenie standardów zarządzania bezpieczeństwem,
Stosowanie szyfrowania danych – ochrona informacji przed nieautoryzowanym dostępem.

Reagowanie na incydenty zgodnie z dyrektywą NIS2

Przepisy dyrektywy NIS2 wskazują również na to w jaki sposób podmioty kluczowe lub ważne powinny reagować w przypadku wystąpienia poważnych incydentów dot. cyberbezpieczenstwa.

Incydent to zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne.

Poważnym incydentem jest incydent, który:

spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu,
wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Podmiot zobowiązany powinien zgłosić informację o poważnym incydencie do CSIRT, czyli Computer Security Incident Response Team (zespół reagowania na incydenty bezpieczeństwa komputerowego). Podmiot ważny albo kluczowy będzie miał na to 24 godziny od jego wykrycia, a więc naprawdę niewiele (tzw. wczesne ostrzeżenie). Dodatkowo, w czasie 72 godzin podmiot zobowiązany musi przekazać dodatkowe informacje o takim incydencie, w tym ocenę jego dotkliwości i skutków.

W tym artykule dowiesz się więcej na temat reagowania na incydenty zgodnie z dyrektywą NIS2: Incydenty w dyrektywie NIS2 – zgłaszanie do CSIRT

Podsumowanie

Dyrektywa NIS2 wprowadza nowe, bardziej restrykcyjne regulacje mające na celu zwiększenie poziomu cyberbezpieczeństwa w Europie. Firmy i instytucje podlegające przepisom muszą dostosować swoje systemy do nowych wymagań, wdrażając skuteczne procedury zarządzania ryzykiem oraz reagowania na incydenty. Niedopełnienie obowiązków może skutkować wysokimi karami finansowymi. Warto więc jak najszybciej dostosować organizację do nowych realiów i zabezpieczyć się przed rosnącymi zagrożeniami w cyberprzestrzeni.

Cookie	Czas trwania	Opis
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Czas trwania	Opis
VISITOR_INFO1_LIVE	6 months	YouTube ustawia ten plik cookie, aby mierzyć przepustowość, określając, czy użytkownik otrzymuje nowy czy stary interfejs odtwarzacza.
VISITOR_PRIVACY_METADATA	6 months	YouTube ustawia ten plik cookie, aby przechowywać stan zgody na pliki cookie użytkownika dla bieżącej domeny.
YSC	session	YouTube ustawia ten plik cookie, aby śledzić liczbę wyświetleń osadzonych filmów na stronach YouTube.
yt.innertube::nextId	never	YouTube ustawia ten plik cookie, aby zarejestrować unikalny identyfikator do przechowywania informacji o filmach YouTube, które użytkownik oglądał.
yt.innertube::requests	never	YouTube ustawia ten plik cookie, aby zarejestrować unikalny identyfikator do przechowywania danych na temat filmów YouTube, które użytkownik oglądał.

Cookie	Czas trwania	Opis
yt-player-headers-readable	never	Plik cookie yt-player-headers-readable jest używany przez YouTube do przechowywania preferencji użytkownika związanych z odtwarzaniem wideo i interfejsem, co poprawia doświadczenia podczas oglądania.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	Plik cookie yt-remote-cast-installed jest używany do przechowywania preferencji użytkownika dotyczących odtwarzacza wideo przy użyciu osadzonego filmu YouTube.
yt-remote-connected-devices	never	YouTube ustawia ten plik cookie, aby przechowywać preferencje użytkownika dotyczące odtwarzania osadzonych filmów YouTube.
yt-remote-device-id	never	YouTube ustawia ten plik cookie, aby przechowywać preferencje użytkownika dotyczące odtwarzania osadzonych filmów YouTube.
yt-remote-fast-check-period	session	Plik cookie yt-remote-fast-check-period jest używany przez YouTube do przechowywania preferencji użytkownika dotyczących odtwarzacza wideo dla osadzonych filmów YouTube.
yt-remote-session-app	session	Plik cookie yt-remote-session-app jest używany przez YouTube do przechowywania preferencji użytkownika oraz informacji dotyczących interfejsu osadzonego odtwarzacza wideo YouTube.
yt-remote-session-name	session	Plik cookie yt-remote-session-name jest używany przez YouTube do przechowywania preferencji użytkownika dotyczących odtwarzacza wideo przy użyciu osadzonego filmu YouTube.
ytidb::LAST_RESULT_ENTRY_KEY	never	Plik cookie ytidb::LAST_RESULT_ENTRY_KEY jest używany przez YouTube do przechowywania ostatniego wyniku wyszukiwania, na który kliknął użytkownik. Informacje te są wykorzystywane do poprawy doświadczeń użytkownika poprzez dostarczanie bardziej trafnych wyników wyszukiwania w przyszłości.

Warto wiedzieć

Blog