Przygotuj się do wdrożenia cyberbezpieczeństwa w Twojej firmie

Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) wprowadza jednolite ramy bezpieczeństwa sieci i systemów IT w UE, nakładając na państwa członkowskie obowiązek wzmocnienia zdolności obrony cybernetycznej oraz zarządzania ryzykiem i raportowania incydentów w sektorach kluczowych.

Podmioty kluczowe i ważne w dyrektywnie NIS2

Podział na podmioty kluczowe i ważne w dyrektywie NIS2 jest oparty na ich znaczeniu dla stabilności i funkcjonowania ważnych sektorów gospodarki i społeczeństwa. Podmioty kluczowe to te, których działanie jest niezbędne dla funkcjonowania tych sektorów, podczas gdy podmioty ważne mogą mieć istotny wpływ na ich stabilność w przypadku zakłóceń lub ataków cybernetycznych. Do stosowania nowej dyrektywy będą zobowiązane również mikroprzedsiębiorstwa i małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich znaczenie w danym sektorze. Będą to na przykład przedsiębiorcy komunikacji elektronicznej, kwalifikowani dostawcy usług zaufania, dostawcy usług DNS czy rejestry nazw domen najwyższego poziomu.

Do obowiązków podmiotów będzie także należeć przeprowadzenie we własnym zakresie oceny, czy na podstawie kryteriów dyrektywy NIS 2 są one podmiotem kluczowym lub ważnym i na tej podstawie złożyć wniosek o wpis do rejestru podmiotów ważnych i kluczowych. Podmioty te będą inaczej traktowane na gruncie NIS 2 w zakresie środków nadzoru i kar, np. podmiot kluczowy za naruszenie wymagań dyrektywy NIS2 może ponieść karę pieniężną w maksymalnej wysokości 10 mln euro lub 2% rocznego obrotu. Maksymalna kara, którą można nałożyć na podmiot ważny, wynosi 7 mln euro. Zgodnie z art. 3 ust. 1 dyrektywy NIS2, akt ten wprost wskazuje, że dostawcy usług publicznych sieci łączności elektronicznej oraz dostawcy publicznie dostępnych usług łączności elektronicznej, posiadający status dużych lub średnich przedsiębiorców kwalifikują się jako podmioty kluczowe.

Dyrektywa NIS 2 została przyjęta jako element harmonizacji minimalnej. W związku z tym państwa członkowskie będą mogły wprowadzić w aktach prawnych implementujących tę dyrektywę obowiązki, które z niej bezpośrednio nie wynikają. Oznacza to, że w procesie wdrażania przepisów dyrektywy NIS 2 mogą pojawić się dodatkowe szczegóły i nowe obowiązki nakładane na podmioty Krajowego Systemu Cyberbezpieczeństwa przez krajowego ustawodawcę.

Na implementację dyrektywy NIS2 państwa członkowskie miały czas do 17 października 2024 r., natomiast w Polsce nadal trwa proces legislacyjny ustawy wdrażającej tę dyrektywę. W dniu 12 lutego 2025 r. został opublikowany piąty projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), na podstawie którego dyrektywa NIS2 ma zostać wdrożona do krajowego porządku prawnego.

Rozporządzenie DORA

Oprócz dyrektywy NIS2 i wymogu jej implementacji, Parlament Europejski i Rada Unii Europejskiej  wydały rozporządzenie DORA (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. U. UE. L. z 2022 r. Nr 333, str. 1 z późn. zm.) – dotyczące operacyjnej odporności cyfrowej sektora finansowego, które weszło w życie 17 stycznia 2025 r. i jest stosowane bezpośrednio (bez wymogu implementacji) w całej UE.

Co istotne, rozporządzenie DORA ma istotny wpływ na obowiązki operatorów telekomunikacyjnych, którzy są uznawani za usługodawców ICT (Information and Communication Technology) – dostarczających kluczową infrastrukturę komunikacyjną i technologiczną dla instytucji finansowych. W rezultacie operatorzy telekomunikacyjni, współpracując z sektorem finansowym, zobowiązani są, jeszcze przed implementacją NIS2 dostosować swoje usługi i procedury do nowych, surowych wymagań określonych w DORA.

To oznacza, że już teraz operatorzy telekomunikacyjni muszą spełniać standardy dotyczące bezpieczeństwa, niezawodności i ciągłości działania usług ICT świadczonych na rzecz instytucji finansowych. Przedsiębiorcy telekomunikacyjni, którzy świadczą usługi na rzecz podmiotów finansowych, zobowiązani są również wdrożyć mechanizmy minimalizujące ryzyko związane z incydentami ICT i zapewniające stabilność świadczenia usług. Te wymogi w praktyce często pokrywają się z obowiązkami wynikającymi z NIS2, ale także je wyprzedzają – podnosząc poprzeczkę cyberodporności jeszcze przed wejściem w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.