NIS2 (Directive (EU) 2022/2555)

NIS2 (Dyrektywa (UE) 2022/2555) to ważny akt prawny Unii Europejskiej, mający na celu wzmocnienie bezpieczeństwa cybernetycznego w państwach członkowskich. Bazuje na pierwotnej Dyrektywie NIS, rozszerzając jej zakres i wprowadzając surowsze wymagania dotyczące zgodności w różnych sektorach i podmiotach.

Przegląd regulacji NIS2

NIS2, czyli Dyrektywa dotycząca bezpieczeństwa systemów sieciowych i informacyjnych, ma na celu wzmocnienie ram bezpieczeństwa cybernetycznego w UE poprzez ustanowienie wyższych standardów bezpieczeństwa systemów sieciowych i informacyjnych. Dyrektywa ta odpowiada na luki, które ujawniają rosnące zagrożenia cybernetyczne, i dąży do zapewnienia, że usługi kluczowe pozostaną odporne na takie ryzyka. Termin dla państw UE na transponowanie NIS2 do prawa krajowego upływa 17 października 2024 roku, a postęp wśród państw członkowskich jest zróżnicowany.

Dotknięte kraje i sektory

Do tej pory kilka krajów UE przyjęło krajowe przepisy transponujące NIS2, w tym:

  • Belgia
  • Chorwacja
  • Grecja
  • Węgry
  • Łotwa
  • Litwa

Inne państwa członkowskie są w różnych fazach wdrażania, a niektóre mogą nie zdążyć do terminu.

Dotknięte sektory

NIS2 znacznie rozszerza zakres sektorów objętych regulacjami w porównaniu do swojego poprzednika. Dyrektywa klasyfikuje podmioty w dwie główne grupy: Podmioty Kluczowe (Essential Entities, EE) oraz Podmioty Ważne (Important Entities, IE).

Podmioty Kluczowe zazwyczaj obejmują:

  • Energetykę
  • Transport
  • Finanse
  • Administrację publiczną
  • Opiekę zdrowotną
  • Zaopatrzenie w wodę (woda pitna i ścieki)
  • Infrastruktury cyfrowe (np. chmura obliczeniowa)

Podmioty Ważne zazwyczaj obejmują:

  • Usługi pocztowe
  • Gospodarkę odpadami
  • Przemysł chemiczny
  • Badania
  • Przemysł spożywczy
  • Produkcję (w tym urządzenia medyczne)
  • Dostawców cyfrowych (np. media społecznościowe, rynki internetowe)

Rozszerzenie to oznacza, że około 300 000 instytucji będzie podlegać regulacjom NIS2, co stanowi znaczny wzrost w porównaniu do 20 000 podmiotów objętych NIS1.

Kary i konsekwencje dla członków zarządów

NIS2 wprowadza surowe kary za brak zgodności, które różnią się w zależności od klasyfikacji podmiotu:

  • Dla Podmiotów Kluczowych: Grzywny mogą wynieść do 10 milionów euro lub 2% rocznego globalnego obrotu z poprzedniego roku finansowego, w zależności od tego, która kwota jest wyższa.
  • Dla Podmiotów Ważnych: Grzywny mogą wynieść do 7 milionów euro lub 1,4% rocznego globalnego obrotu z poprzedniego roku finansowego, w zależności od tego, która kwota jest wyższa.
  • Ponadto dyrektywa nakłada bezpośrednie obowiązki na organy zarządzające w zakresie zgodności. Oznacza to, że członkowie zarządu mogą ponieść osobistą odpowiedzialność, jeśli ich organizacja nie będzie przestrzegać wymagań NIS2. Oczekuje się, że zapewnią oni wdrożenie odpowiednich środków bezpieczeństwa cybernetycznego oraz zgłoszą wszelkie istotne incydenty w odpowiednim czasie (do 600% standardowego odszkodowania).

Wnioski

Dyrektywa NIS2 stanowi kluczowy krok w kierunku wzmocnienia odporności na zagrożenia cybernetyczne w Europie. Rozszerzając zakres objętych podmiotów i sektorów oraz wprowadzając surowe środki zgodności wraz z istotnymi karami, ma na celu stworzenie bezpieczniejszego środowiska cyfrowego w UE. Organizacje muszą działać szybko, aby dostosować się do nowych przepisów, ponieważ termin zbliża się wielkimi krokami.