Cyberbezpieczeństwo po nowemu – Dyrektywa NIS2 zmienia obowiązki firm w świetle prawa IT

W październiku 2024 r. w Polsce zaczęły obowiązywać przepisy implementujące unijną Dyrektywę NIS2 – akt prawny, który znacząco rozszerza obowiązki przedsiębiorstw w zakresie ochrony systemów informatycznych. Nowe regulacje obejmują zarówno firmy z sektorów uznanych za strategiczne, jak i podmioty świadczące niektóre usługi cyfrowe. Wprowadzenie NIS2 wiąże się z koniecznością przeprowadzenia szczegółowej analizy ryzyka, wdrożenia procedur reagowania na incydenty oraz odpowiedniego przeszkolenia zarządu i pracowników.

Dyrektywa NIS2 – nowe obowiązki w zakresie cyberbezpieczeństwa dla polskich firm

Dyrektywa NIS2 została uchwalona przez Parlament Europejski i Radę Unii Europejskiej 14 grudnia 2022 r. (2022/2555/UE), a jej celem jest wzmocnienie poziomu cyberbezpieczeństwa na terytorium państw członkowskich. Zakłada ona m.in. obowiązek stosowania przez przedsiębiorstwa proporcjonalnych środków technicznych i organizacyjnych, mających na celu zapobieganie oraz ograniczanie skutków cyberataków. NIS2 wprowadza również bardziej precyzyjne mechanizmy nadzoru oraz odpowiedzialność zarządów firm za niedopełnienie obowiązków w tym zakresie.

Jedną z najważniejszych zmian w porównaniu z wcześniejszą dyrektywą NIS z 2016 r. jest rozszerzenie katalogu podmiotów objętych regulacjami. Nowe przepisy dotyczą już nie tylko największych dostawców infrastruktury, ale także średnich i mniejszych firm, jeśli ich działalność może mieć wpływ na ciągłość funkcjonowania usług publicznych lub gospodarczych. Jak podkreśla Radca Prawny Bydgoszcz - wdrożenie obowiązków wynikających z NIS2 nie powinno ograniczać się do aspektów technicznych – równie istotne są zmiany organizacyjne, procedury wewnętrzne oraz jasne zasady odpowiedzialności zarządu. Odpowiednie przygotowanie dokumentacji i szkolenie pracowników mogą uchronić firmy przed poważnymi konsekwencjami prawnymi.

Warto zaznaczyć, że przepisy mają zastosowanie niezależnie od formy prawnej prowadzonej działalności – mogą dotyczyć zarówno spółek kapitałowych, jak i jednostek sektora publicznego. Warunkiem jest spełnienie określonych kryteriów, takich jak liczba pracowników, wartość rocznych obrotów lub rodzaj świadczonych usług. Szczególnie istotne będą tu dwa pojęcia wprowadzone przez dyrektywę - podmioty kluczowe oraz podmioty istotne, które różnią się między sobą zakresem obowiązków i rygorem nadzoru.

Wprowadzenie NIS2 wiąże się z koniecznością stworzenia przez firmy odpowiedniego systemu zarządzania ryzykiem oraz zgłaszania incydentów do właściwych organów nadzoru. Nowe obowiązki obejmują także konieczność przeszkolenia kierownictwa oraz – w przypadku spełnienia ustawowych kryteriów – rejestracji firmy jako podmiotu kluczowego lub istotnego. Niedopełnienie tych obowiązków może skutkować sankcjami finansowymi i odpowiedzialnością osób zarządzających.

Kogo dotyczą przepisy i jakie obowiązki nakłada Dyrektywa NIS2?

Dyrektywa NIS2 ma zastosowanie do szerokiego kręgu podmiotów, które działają w sektorach strategicznych z punktu widzenia interesu publicznego oraz stabilności rynku wewnętrznego. W odróżnieniu od wcześniejszych regulacji, NIS2 posługuje się kategoriami „podmiotów kluczowych” oraz „podmiotów istotnych”. Pierwsze z nich to przedsiębiorstwa, których działalność ma zasadnicze znaczenie dla funkcjonowania podstawowych usług, np. w sektorze energetycznym, zdrowotnym czy cyfrowym. Drugie – to firmy o mniejszym zasięgu, lecz nadal istotne z punktu widzenia bezpieczeństwa publicznego i gospodarczego.

Wśród sektorów objętych przepisami znajdują się m.in.: energetyka, transport, wodociągi, produkcja i dystrybucja żywności, infrastruktura cyfrowa, bankowość, administracja publiczna czy ochrona zdrowia. To oznacza, że nowe wymogi dotkną nie tylko operatorów sieci i dużych przedsiębiorstw, ale też firmy IT, dostawców usług chmurowych, szpitale, jednostki samorządu terytorialnego oraz producentów leków i żywności. Dodatkowo, niektóre podmioty będą objęte regulacją niezależnie od wielkości – przykładem są dostawcy usług DNS lub operatorzy publicznych sieci łączności.

Aby ustalić, czy NIS2 dotyczy konkretnej firmy, należy przeanalizować trzy kryteria - sektor działalności, wielkość przedsiębiorstwa oraz znaczenie świadczonych usług. Dla średnich i dużych firm z branż objętych dyrektywą obowiązki będą obligatoryjne. Małe i mikroprzedsiębiorstwa mogą być objęte przepisami tylko wtedy, gdy pełnią rolę krytyczną w określonym obszarze – decyzję o ich kwalifikacji podejmować będą odpowiednie organy krajowe.

Zakres obowiązków wynikających z NIS2 jest szeroki i obejmuje m.in.:

• Wdrożenie systemu zarządzania ryzykiem cyberbezpieczeństwa, obejmującego identyfikację zagrożeń, ocenę potencjalnych skutków oraz zastosowanie odpowiednich środków zabezpieczających.
• Raportowanie poważnych incydentów w trzech etapach: wstępne powiadomienie w ciągu 24 godzin, szczegółowy raport w ciągu 72 godzin oraz końcowe sprawozdanie w terminie do miesiąca.
• Obowiązki informacyjne wobec klientów – w przypadku incydentu, który może wpłynąć na jakość świadczonych usług lub bezpieczeństwo danych, firmy muszą poinformować odbiorców o zagrożeniach i środkach zaradczych.
• Odpowiedzialność zarządu – osoby zarządzające firmą będą bezpośrednio odpowiedzialne za zatwierdzenie i nadzór nad wdrażaniem polityk bezpieczeństwa oraz za nieprawidłowości w zakresie ochrony systemów IT.
• Szkolenia z zakresu cyberbezpieczeństwa – członkowie zarządu muszą posiadać aktualną wiedzę w zakresie ryzyk cyfrowych i sposobów ich minimalizacji. Zalecane jest również prowadzenie szkoleń dla pracowników, choć nie jest to obowiązek wynikający bezpośrednio z dyrektywy.
• Rejestracja podmiotów – przedsiębiorstwa spełniające kryteria będą zobowiązane do zgłoszenia się do specjalnego rejestru prowadzonego przez krajowy organ nadzoru.

Wdrożenie tych obowiązków wymaga nie tylko odpowiedniego przygotowania kadry kierowniczej i działów IT, ale także analizy struktury organizacyjnej firmy i dotychczasowych procedur związanych z bezpieczeństwem informacji.

Praktyczne wnioski dla przedsiębiorców

Dyrektywa NIS2 to nie tylko nowa regulacja unijna, ale także impuls do gruntownej zmiany podejścia do zarządzania cyberbezpieczeństwem w polskich firmach. Choć wiele obowiązków wynikało już wcześniej z dobrych praktyk lub rekomendacji branżowych, obecnie zyskują one wymiar normatywny – ich niewykonanie może prowadzić do konsekwencji prawnych i finansowych.

Dla przedsiębiorców oznacza to konieczność jak najszybszego działania. Podstawowym krokiem powinno być przeprowadzenie analizy zgodności, której celem jest ustalenie czy firma w ogóle podlega przepisom NIS2 oraz w jakim zakresie. Następnie należy przeprowadzić audyt wewnętrzny – zidentyfikować zasoby informacyjne, zmapować potencjalne ryzyka oraz ocenić, czy obecne zabezpieczenia odpowiadają wymogom nowej dyrektywy. Należy przy tym pamiętać, że ocena powinna obejmować także kontrahentów i dostawców – zgodność z NIS2 dotyczy bowiem całego łańcucha dostaw usług krytycznych.

Kolejnym krokiem powinno być opracowanie planu wdrożenia środków zarządzania ryzykiem, a także procedur reagowania na incydenty. Warto w tym celu skorzystać z pomocy ekspertów – audytorów, specjalistów ds. bezpieczeństwa informacji oraz firm doradczych posiadających doświadczenie w zakresie zgodności z przepisami UE. Przemyślane wdrożenie, połączone z odpowiednim przeszkoleniem zarządu i pracowników, pozwoli nie tylko zminimalizować ryzyko naruszeń, ale również podnieść ogólną odporność organizacji na zagrożenia cyfrowe.

Nie należy także zapominać o formalnym obowiązku rejestracji jako podmiot kluczowy lub istotny. Choć wydaje się to czynnością administracyjną, stanowi ona podstawę objęcia nadzorem przez właściwe organy i wiąże się z dalszymi obowiązkami sprawozdawczymi. Zaniedbanie tego elementu może skutkować uznaniem firmy za podmiot uchylający się od obowiązków prawnych.

Dyrektywa NIS2 wprowadza nową jakość w zarządzaniu bezpieczeństwem informacji – nie tylko w kontekście technologicznym, ale także organizacyjnym i strategicznym. Odpowiedzialność za zgodność nie spoczywa już wyłącznie na działach IT, lecz dotyczy całego przedsiębiorstwa – od zarządu po szeregową obsługę klienta. To dobry moment, by uświadomić sobie, że cyberbezpieczeństwo nie jest kwestią wyboru, lecz obowiązkiem, od którego zależy stabilność działania i zaufanie klientów. Firmy, które podejdą do tematu poważnie, zyskają nie tylko zgodność z przepisami, ale też większą odporność na cyberataki, lepsze zarządzanie informacją i wyższy poziom gotowości operacyjnej. W dłuższej perspektywie – to inwestycja, która się opłaca.

Jeżeli chcą Państwo skonsultować obowiązki wynikające z Dyrektywy NIS2, przygotować dokumentację zgodną z nowymi regulacjami lub zorganizować szkolenie dla zarządu i pracowników – zapraszamy do kontaktu z kancelarią.

BE LAW. Radcy Prawni Bydgoszcz

Adres: Jagiellońska 69/1, 85-027 Bydgoszcz

Telefon: +48 792 772 210

E-mail: [email protected]