NIS2 w Polsce – czy Twoja firma musi się dostosować?

Czym jest dyrektywa NIS2 i dlaczego jest ważna?

NIS2 (ang. Network and Information Systems Directive 2, dyrektywa UE 2022/2555) to unijny akt prawny, który zastąpił pierwotną dyrektywę NIS z 2016 roku. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej przez nałożenie jednolitych wymagań na firmy i organizacje działające w kluczowych sektorach gospodarki.

Termin implementacji dyrektywy przez państwa członkowskie minął 17 października 2024 roku. Polska wdraża NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Choć szczegółowe przepisy krajowe są jeszcze dopracowywane, wymagania dyrektywy obowiązują już teraz – firmy nie powinny czekać na finalne regulacje, aby zacząć działać.

W odróżnieniu od pierwszej wersji dyrektywy, NIS2 znacznie rozszerza zakres podmiotów objętych regulacją, zaostrza wymagania dotyczące zarządzania ryzykiem i wprowadza realne sankcje za zaniechania – w tym osobistą odpowiedzialność kadry zarządzającej.

Kogo dotyczy NIS2 – czy Twoja firma jest na liście?

NIS2 dzieli firmy na dwie kategorie: podmioty kluczowe i podmioty ważne. Zakwalifikowanie zależy od sektora działalności oraz wielkości przedsiębiorstwa.

Podmioty kluczowe (wyższe wymagania i kary) – to duże firmy (250+ pracowników lub obrót powyżej 50 mln EUR) działające w sektorach:

• energetyka, transport, bankowość i infrastruktura rynków finansowych
• ochrona zdrowia, zaopatrzenie w wodę pitną i ścieki
• infrastruktura cyfrowa (dostawcy chmury, centra danych, sieci 5G, CDN)
• administracja publiczna i sektor kosmiczny

Podmioty ważne (nieco łagodniejszy nadzór, ale nadal rygorystyczne wymagania) – to firmy średniej wielkości (50–249 pracowników lub obrót 10–50 mln EUR) z powyższych sektorów, a także przedsiębiorstwa z sektorów dodatkowych:

• usługi pocztowe i kurierskie, gospodarka odpadami, przemysł spożywczy
• produkcja wyrobów krytycznych (sprzęt medyczny, pojazdy, maszyny, elektronika, chemia)
• dostawcy usług cyfrowych: platformy e-commerce, wyszukiwarki, media społecznościowe

Małe firmy (poniżej 50 pracowników) są co do zasady wyłączone, chyba że są jedynym dostawcą usługi krytycznej w danym kraju lub regionie – wtedy przepisy mogą ich dotyczyć niezależnie od wielkości.

Jakie obowiązki nakłada NIS2 na firmy?

NIS2 wymaga od objętych nią podmiotów wdrożenia kompleksowego podejścia do zarządzania ryzykiem cyberbezpieczeństwa. Kluczowe obowiązki obejmują:

1. Polityki bezpieczeństwa informacji – formalne, udokumentowane zasady ochrony danych i systemów IT.
2. Zarządzanie ryzykiem – regularna analiza zagrożeń i wdrożenie proporcjonalnych środków technicznych i organizacyjnych.
3. Bezpieczeństwo łańcucha dostaw – weryfikacja dostawców IT i partnerów biznesowych pod kątem ich poziomu zabezpieczeń.
4. Szyfrowanie danych – obowiązkowe stosowanie kryptografii wszędzie tam, gdzie jest to zasadne.
5. Uwierzytelnianie wieloskładnikowe (MFA) – wymagane dla dostępu do krytycznych systemów i danych.
6. Raportowanie incydentów – poważne incydenty muszą być zgłaszane do właściwego CSIRT (w Polsce: CERT Polska) w ciągu 24 godzin od wykrycia; pełny raport – w ciągu 72 godzin.
7. Szkolenia pracowników – regularne podnoszenie świadomości w zakresie cyberbezpieczeństwa na wszystkich szczeblach organizacji.
8. Planowanie ciągłości działania – posiadanie planów awaryjnych i procedur odtworzenia po incydencie (BCP/DRP).

Co szczególnie istotne, NIS2 wprost nakłada odpowiedzialność na kadrę zarządzającą. Właściciele firm i menadżerowie mogą być osobiście pociągnięci do odpowiedzialności za systemowe zaniechania w obszarze cyberbezpieczeństwa.

Kary za nieprzestrzeganie NIS2 – skala sankcji

Sankcje przewidziane w dyrektywie NIS2 są znaczące i zbliżone poziomem do kar z RODO. Nie są to symboliczne grzywny – to realne zagrożenie finansowe dla firm każdej wielkości:

• Podmioty kluczowe: kary do 10 mln EUR lub 2% całkowitego rocznego obrotu (stosowana jest wyższa kwota)
• Podmioty ważne: kary do 7 mln EUR lub 1,4% całkowitego rocznego obrotu

Oprócz kar finansowych organy nadzorcze mogą:

• nakazać wstrzymanie określonej działalności do czasu usunięcia naruszeń
• publicznie ujawnić informacje o naruszeniu i odpowiedzialnej firmie (efekt reputacyjny)
• tymczasowo zakazać pełnienia funkcji zarządczych osobom winnym zaniedbań

Dla firm z sektora MŚP nawet kara na poziomie 1,4% obrotu może być bardzo dotkliwa. Warto potraktować NIS2 nie jako biurokratyczny obowiązek, ale jako impuls do realnego podniesienia poziomu bezpieczeństwa – co w dłuższej perspektywie chroni firmę przed kosztownymi incydentami.

Jak przygotować firmę na NIS2 – praktyczne kroki

Niezależnie od etapu, na którym jesteś, wdrożenie wymagań NIS2 warto zaplanować metodycznie. Oto sprawdzony plan działania:

1. Ustal, czy Twoja firma podlega dyrektywie – sprawdź sektor i wielkość przedsiębiorstwa. W razie wątpliwości skonsultuj się ze specjalistą IT lub prawnikiem specjalizującym się w regulacjach cyfrowych.
2. Przeprowadź audyt cyberbezpieczeństwa – zidentyfikuj luki w obecnych zabezpieczeniach technicznych, dokumentacji i procedurach operacyjnych.
3. Opracuj i wdróż politykę bezpieczeństwa informacji – udokumentuj zasady zarządzania dostępem, hasłami, urządzeniami mobilnymi i danymi firmowymi.
4. Wdróż kluczowe środki techniczne – uwierzytelnianie MFA, szyfrowanie danych, regularny backup, segmentacja sieci oraz monitoring bezpieczeństwa.
5. Przeszkol pracowników – regularne szkolenia z rozpoznawania phishingu, bezpiecznego korzystania z e-maila i procedur reagowania na incydenty.
6. Opracuj plan reagowania na incydenty – każdy w firmie powinien wiedzieć, kto, co i w jakim czasie robi w przypadku ataku lub wycieku danych.
7. Zweryfikuj dostawców IT – upewnij się, że partnerzy technologiczni i dostawcy oprogramowania spełniają odpowiednie wymagania bezpieczeństwa.

Jeśli Twoja firma nie dysponuje wewnętrznym działem IT lub zasoby są ograniczone, warto rozważyć współpracę z zewnętrznym dostawcą usług IT. Profesjonalny partner technologiczny pomoże przeprowadzić audyt, wdrożyć niezbędne rozwiązania i utrzymać zgodność z wymaganiami NIS2 w sposób efektywny kosztowo.