logo-LexDigital
logo-LexDigital
Cyberbezpieczeństwo NIS 2 Zarządzanie ryzykiem

Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Zespół LexDigital
Zespół LexDigital
09.10.2024
Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Wraz z rosnącym wyrafinowaniem zagrożeń cyberbezpieczeństwa zaistniała potrzeba wprowadzenia jeszcze bardziej rygorystycznych przepisów. Wraz z przyjęciem przez Unię Europejską w 2022 r. dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS-2) ramy prawne uległy istotnej zmianie. Dowiedz się, jak nowe przepisy wpłyną na poszczególne branże.

Czym jest dyrektywa NIS-2?

Dyrektywa NIS 2 (pełna nazwa: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148) stanowi kontynuację poprzedniej dyrektywy NIS.

Celem regulacji jest radykalne zwiększenie cyberbezpieczeństwa krytycznych sektorów Unii. Ponieważ data wdrożenia dyrektywy zbliża się wielkimi krokami, przedsiębiorstwa powinny zapoznać się z tym, jakich sektorów dyrektywa ta dotyczy w największym stopniu i jakie środki zgodności będą musiały wprowadzić.

Celem dyrektywy NIS jest zapewnienie cyberbezpieczeństwa w całej Unii Europejskiej.
Celem dyrektywy NIS jest zapewnienie cyberbezpieczeństwa w całej Unii Europejskiej.


Jedną z najważniejszych zmian, jakie wprowadziła dyrektywa NIS-2, jest poszerzenie jej zakresu. Z tego powodu czemu więcej organizacji (niezależnie od wielkości) podlega przepisom dyrektywy!

GRC – czym jest i kogo obowiązuje? Dowiedz się więcej

Dlaczego dyrektywa NIS-2 jest ważna?

Dyrektywa NIS-2 to narzędzie prawne opracowane w celu zwiększenia ogólnego cyberbezpieczeństwa w Unii Europejskiej poprzez wprowadzenie nowych środków ochrony infrastruktury krytycznej. Aktualizuje ona również poprzednią dyrektywę NIS przyjętą w 2016 r., dostosowując ją do szybko zmieniającego się charakteru cyberzagrożeń.

Według założeń NIS-2 zharmonizuje podejście do cyberbezpieczeństwa w państwach członkowskich UE. W efekcie będzie to oznaczać wzmocnienie cyberbezpieczeństwa w przedsiębiorstwach i podmiotach zaangażowanych w kluczowe sektory wraz z odpowiednimi środkami zarządzania ryzykiem i reagowania na incydenty. Otwiera to również drogę do ściślejszej współpracy między sektorem publicznym i prywatnym w zakresie wymiany informacji na temat potencjalnych zagrożeń i słabych punktów, a także ataków.

Legislacja UE zakłada poważne zmiany w dziedzinie cyberbezpieczeństwa.
Legislacja UE zakłada poważne zmiany w dziedzinie cyberbezpieczeństwa.


NIS-2 ma również na celu podniesienie poprzeczki pod względem tego, co będzie uważane za odpowiednie bezpieczeństwo dla branż, które są niezbędne dla funkcjonowania społeczeństwa i gospodarki. Nieprzestrzeganie dyrektywy pociągnie za sobą bardzo surowe sankcje, dlatego też istnieje zasadnicza potrzeba zrozumienia, co jest dozwolone, a co nie.

Kluczowe zmiany w porównaniu z pierwotną dyrektywą NIS

  • Szerszy zasięg – zwiększając zasięg w różnych sektorach i organizacjach, NIS-2 postawi wiele nowych branż przed wyzwaniem zapewnienia zgodności z dyrektywą
  • Lepsze zarządzanie – firmy objęte NIS-2 będą musiały wyznaczyć osoby odpowiedzialne za cyberbezpieczeństwo i wprowadzić bardziej ustrukturyzowane raportowanie incydentów
  • Szersza współpraca – dzięki dyrektywie istnieje możliwość szerszej współpracy w zakresie cyberbezpieczeństwa między państwami członkowskimi UE oraz w ramach partnerstw publiczno-prywatnych

Branże, na które wpłynie dyrektywa NIS-2

Sektor energetyczny

Sektor energetyczny jest jednym z kręgosłupów współczesnego życia, a jego infrastruktura często jest głównym celem ataków. Zakłócenie usług energetycznych może wywołać efekt kaskadowy w sektorach zdrowia, transportu, produkcji i życia codziennego. NIS-2 nałoży bardziej rygorystyczne przepisy na przedsiębiorstwa energetyczne w celu zapewnienia zgodności z zasadami cyberbezpieczeństwa.

Zdolność reagowania jest kluczowa w przypadku infrastruktury krytycznej.
Zdolność reagowania jest kluczowa w przypadku infrastruktury krytycznej.


Opieka zdrowotna

Wykorzystanie cyfrowej dokumentacji medycznej i urządzeń medycznych z obsługą IoT (Internet of Things) rośnie z każdym dniem, co istotnie zwiększa ryzyko.

Ponieważ cyberataki w sektorze opieki zdrowotnej mogą spowodować utratę życia, przestrzeganie zapisów NIS-2 jest aspektem o pierwszorzędnym znaczeniu.

Opieka zdrowotna to jedna z branż wymienionych w dyrektywie NIS 2.
Opieka zdrowotna to jedna z branż wymienionych w dyrektywie NIS 2.


Usługi finansowe

Usługi finansowe były tradycyjnie głównym celem cyberprzestępczości, ponieważ banki, firmy ubezpieczeniowe i dostawcy usług płatniczych mają bezpośredni dostęp do pieniędzy. W erze bankowości cyfrowej instytucje finansowe i powiązane z nimi firmy stają się coraz bardziej otwarte na transakcje online i technologie blockchain.

Nowe wymagania w ramach cyberbezpieczeństwa NIS-2 będą nawet dalej idące dla instytucji finansowych w zakresie wdrażania zaawansowanych systemów wykrywania zagrożeń i dokumentowania procesów reagowania w przypadku wystąpienia jakiegokolwiek incydentu oraz ochrony danych. Z drugiej strony, kary związane z nieprzestrzeganiem NIS-2 będą prawdopodobnie bardzo wysokie, co zmusi firmy z sektora do zwrócenia należytej uwagi na zarządzanie cyberbezpieczeństwem.

Kary RODO. Dowiedz się więcej

Dostawcy usług finansowych będą mieli obowiązek zgłaszania incydentów w obszarze cyberbezpieczeństwa.
Dostawcy usług finansowych będą mieli obowiązek zgłaszania incydentów w obszarze cyberbezpieczeństwa.


Transport

W miarę jak automatyzacja systemów przejmuje kontrolę nad wszystkim, począwszy od ruchu lotniczego po logistykę ładunków, szanse na udany cyberatak prowadzący do zakłóceń o potencjalnie katastrofalnych skutkach zaczynają stawać się realne.

NIS-2 kładzie większy nacisk na organizacje transportowe, aby zapewnić solidne strategie obrony cyberbezpieczeństwa. Obejmuje to systemy monitorowania w czasie rzeczywistym i okresowe analizy ryzyka, a także zgłaszanie istotnych incydentów bezpieczeństwa, jeśli takie wystąpią. Firmy działające w tym sektorze będą musiały zainwestować w modernizację swojej infrastruktury bezpieczeństwa, dostosowując się do minimalnych standardów zgodności określonych przez NIS-2.

Zapewnienie bezpieczeństwa transportu w całej Unii to jeden z celów dyrektywy NIS 2.
Zapewnienie bezpieczeństwa transportu w całej Unii to jeden z celów dyrektywy NIS 2.


Dostawcy systemów informatycznych

Infrastruktura cyfrowa jest kręgosłupem w społeczeństwie opartym na informacji. Konsekwencją naruszenia bezpieczeństwa może być sparaliżowanie całej gospodarki, dlatego jest to jeden z najważniejszych sektorów w ramach NIS-2.

Dostawcy infrastruktury cyfrowej mają procedury bezpieczeństwa, których należy przestrzegać, aby chronić komunikację w swoich sieciach, wzmocnić centra danych i zapewnić odporność platform chmurowych na ataki. Szczególną uwagę należy zwrócić na szyfrowanie, mechanizmy uwierzytelniania i planowanie redundancji, aby umożliwić utrzymanie operacji podczas incydentu cybernetycznego.

Hakerzy często biorą na cel dostawców usług cyfrowych.
Hakerzy często biorą na cel dostawców usług cyfrowych.

Outsourcing funkcji IOD. Przekaż nam pełnienie funkcji Inspektora Ochrony Danych Osobowych w swojej firmie!

Administracja publiczna

Dlatego też cyberprzestępcy zawsze obierają za cel organy administracji publicznej jako główne źródło podatności na ataki systemów rządowych. Stopień zależności od systemów cyfrowych w świadczeniu usług, takich jak pobór podatków, rejestracja urodzeń i zgonów oraz każda inna forma programu opieki społecznej, stwarza drogę do poważnych konsekwencji zakłóceń cybernetycznych – od rad miejskich po ministerstwa krajowe.

Zaatakowanie urzędów często powoduje zaburzenie porządku publicznego.
Zaatakowanie urzędów często powoduje zaburzenie porządku publicznego.


Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych znany z NIS 1, nowym podziałem na podmioty kluczowepodmioty ważne. Więcej na ten temat przeczytasz tutaj.

Compliance Management – przyszłość branż objętych NIS 2

Dla firmy objętej regulacjami NIS-2 zrozumienie implikacji dyrektywy to pierwszy krok do jej przestrzegania. Nowe prawo wymaga bardziej proaktywnego podejścia w budowaniu systemów cyberbezpieczeństwa. W praktyce oznacza to przede wszystkim:

  • Ocenę ryzyka – pełnowymiarową ocenę ryzyka przez firmy w celu zidentyfikowania słabych punktów ich infrastruktury cyfrowej. Powinna ona obejmować również korzystanie z bezpiecznych sieci VPN w celu ochrony wrażliwych danych i zmniejszenia ryzyka nieautoryzowanego dostępu, zwłaszcza gdy pracownicy uzyskują zdalny dostęp do zasobów firmy.
  • Planowanie reagowania na incydenty – powinno być jasno określone w zakresie i szczegółach w organizacjach reagujących na naruszenie cyberbezpieczeństwa informacji.

NIS 2: aktualizacja prawa krajowego. Ustawa o krajowym systemie cyberbezpieczeństwa

Przepisy dotyczące cyberbezpieczeństwa wprowadzone dyrektywą NIS 2 rozszerzyły zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa oraz zdefiniowały na nowo zadania organów Unii Europejskiej w tym obszarze.

Kolejny krok to proces implementowania Dyrektywy do porządku prawnego w państwach członkowskich. Poszczególne państwa mają na to czas maksymalnie do 17 października 2024r. Polska w tym zakresie podjęła prace nad projektem nowelizacji obecnej ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Więcej dowiesz się tutaj.

Czas na wdrożenie dyrektywy NIS 2 przez państwa członkowskie UE

Dyrektywa NIS-2 stanowi krok naprzód w kierunku ponownego wyobrażenia sobie cyberbezpieczeństwa w całej UE. Rozszerzenie zakresu branż, wraz z dodatkowymi surowymi przepisami, sprawia, że dyrektywa ma teraz znacznie większy wpływ na sektory takie jak energetyka, opieka zdrowotna, usługi finansowe, transport i infrastruktura cyfrowa.

Firmy objęte zapisami dyrektywy NIS 2 mają do rozważenia delikatną równowagę w zakresie zgodności, z surowymi karami związanymi z nieprzestrzeganiem przepisów, a jednocześnie są zobowiązane do zapewnienia ochrony współmiernej do rosnącej fali cyberzagrożeń. Będzie to ważne nie tylko dla ochrony samych organizacji, ale także dla utrzymania i zabezpieczenia odporności całego cyfrowego ekosystemu.

Do 17 października polski rząd musi wdrożyć dyrektywę NIS 2.
Do 17 października polski rząd musi wdrożyć dyrektywę NIS 2.

Polecamy nasze inne artykuły:

NIS2 – sprawdź nowe wymagania dla firm

Incydenty i naruszenia ochrony danych osobowych w dni wolne od pracy i święta

Dane osobowe: Kompletny przewodnik po RODO na 2025 rok

Zarządzanie ryzykiem
Zarządzanie ryzykiem – wyjaśniamy cały proces!

Zarządzanie ryzykiem – wyjaśniamy cały proces!

Zespół LexDigital 12.09.2025
RODO
Jak długo przechowywany jest zapis z kamer sklepowych, czyli retencja danych w procesie monitoringu wizyjnego

Jak długo przechowywany jest zapis z kamer sklepowych, czyli retencja danych w procesie monitoringu wizyjnego

Zespół LexDigital 27.02.2024

Umów bezpłatną konsultację

Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
Pierwszy taki newsletter o ochronie danych i cyberbezpieczeństwie.
Co miesiąc dawka wiedzy od naszych ekspertów.

Administratorem Twoich danych osobowych jest LexDigital spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, ul Grodziska 8, 60-363 Poznań. Dane osobowe przetwarzane będą w celu wysyłania informacji handlowych, w szczególności newslettera. Pełną informację o przetwarzaniu danych osobowych znajdziesz w naszej Polityce prywatności.