Uciekający, przestraszony haker. Ilustracja do artykułu na temat: Dyrektywa NIS2 - raportowanie i wdrożenie

Raportowanie NIS2

Dyrektywa NIS2 - wdrożenie i raportowanie

Spis treści

  • Wprowadzenie do dyrektywy NIS2
  • Tło legislacyjne i harmonogram wdrożenia
  • Kto musi spełnić wymagania NIS2?
  • Obowiązki w zakresie raportowania NIS2
  • Charakterystyka obowiązków zgodności (compliance)
  • Analiza ryzyka i zarządzanie łańcuchem dostaw
  • Cyberbezpieczeństwo a odpowiedzialność zarządu
  • Role w organizacji - CISO i zespół cyberbezpieczeństwa
  • Sankcje i konsekwencje nieprzestrzegania NIS2
  • Jak się przygotować? Praktyczne wskazówki
  • Narzędzia wspierające zgodność z NIS2
  • Podsumowanie
  • FAQ: Najczęstsze pytania o raportowanie NIS2

Wprowadzenie do dyrektywy NIS2

NIS2 (Network and Information Systems Directive 2) stanowi prawdziwy kamień milowy w europejskim podejściu do cyberbezpieczeństwa. Przyjęta przez Parlament Europejski w listopadzie 2022 roku dyrektywa zastępuje i znacząco rozszerza swoją poprzedniczkę (NIS1) z 2016 roku. Nie jest to jedynie kosmetyczna poprawka poprzedniej wersji, ale gruntowne przemodelowanie ram ochrony cyfrowej w UE.

Dyrektywa powstała jako odpowiedź na dramatyczny wzrost liczby i stopnia skomplikowania cyberataków w ostatnich latach oraz na fragmentację przepisów pomiędzy krajami członkowskimi. COVID-19 wyraźnie pokazał, jak bardzo zależni jesteśmy od infrastruktury cyfrowej i jak poważne mogą być konsekwencje jej zakłóceń. Ataki ransomware na szpitale, infrastrukturę energetyczną czy łańcuchy dostaw podkreśliły pilną potrzebę wzmocnienia odporności cyfrowej całej Wspólnoty.

Głównym zamierzeniem NIS2 jest zbudowanie wspólnego frontu przeciwko zagrożeniom cyfrowym poprzez:

  • harmonizację wymogów bezpieczeństwa w całej UE
  • wzmocnienie współpracy między państwami członkowskimi
  • zwiększenie przejrzystości raportowania incydentów
  • podniesienie ogólnego poziomu cyberbezpieczeństwa w kluczowych sektorach

To pierwszy tak kompleksowy akt prawny, który faktycznie zobowiązuje firmy do transparentności w kwestii swoich problemów z cyberbezpieczeństwem, jednocześnie nakładając obowiązek wdrożenia adekwatnych środków ochrony.

Dyrektywa NIS2 - tło legislacyjne 

NIS2 (Dyrektywa 2022/2555) została oficjalnie opublikowana w Dzienniku Urzędowym UE 27 grudnia 2022 roku, a w życie weszła 16 stycznia 2023 roku. Od tego momentu państwa członkowskie mają 21 miesięcy na transpozycję jej przepisów do prawa krajowego – termin mija 17 października 2024 roku.

Najważniejsze daty w procesie wdrażania NIS2:

  • 16 stycznia 2023 r. - wejście w życie na poziomie UE
  • Do 17 kwietnia 2024 r. - państwa członkowskie określają podmioty podlegające dyrektywie
  • Do 17 października 2024 r. - finalizacja transpozycji do krajowych systemów prawnych
  • Od 18 października 2024 r. - pełne stosowanie przepisów na terenie całej UE

W Polsce proces implementacji dyrektywy wiąże się z koniecznością nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Prace legislacyjne trwają, a kluczowe ministerstwa (Cyfryzacji oraz Rozwoju i Technologii) koordynują proces dostosowania przepisów.

Dyrektywa NIS2 jest elementem szerszej strategii UE w zakresie cyberbezpieczeństwa, którą uzupełniają m.in.:

  • Dyrektywa CER (Critical Entities Resilience)
  • Akt o Usługach Cyfrowych (DSA)
  • Akt o Rynkach Cyfrowych (DMA)
  • Rozporządzenie DORA dla sektora finansowego

Razem tworzą one kompleksowe ramy prawne mające zapewnić odporność cyfrową i bezpieczeństwo w przestrzeni europejskiej.

Kto musi spełnić wymagania Dyrektywy NIS2?

NIS2 dramatycznie poszerza grono podmiotów objętych regulacjami. Podczas gdy NIS1 obejmowała około 11 tysięcy podmiotów w całej UE, szacuje się, że pod NIS2 podlegać będzie ponad 160 tysięcy organizacji. Dyrektywa wprowadza podział na dwie główne kategorie: sektory kluczowe (essential) i sektory ważne (important).

Kluczowe sektory:

  • Energia (wytwarzanie, przesył, dystrybucja, magazynowanie, rurociągi, LNG)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia (szpitale, laboratoria, producenci leków)
  • Woda pitna (zaopatrzenie i dystrybucja)
  • Infrastruktura cyfrowa (punkty wymiany ruchu internetowego, dostawcy DNS, rejestry TLD)
  • ICT - zarządzanie usługami (B2B)
  • Administracja publiczna (centralna i regionalna)
  • Przestrzeń kosmiczna

Sektory ważne:

  • Usługi pocztowe i kurierskie
  • Gospodarka odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwórstwo i dystrybucja żywności
  • Produkcja (wyrobów medycznych, komputerów, elektroniki, sprzętu elektrycznego, pojazdów)
  • Dostawcy usług cyfrowych (platformy internetowe, wyszukiwarki, media społecznościowe)
  • Badania naukowe

Kryterium wielkości podmiotu ma  znaczenie - obowiązki dotyczą firm spełniających przynajmniej jedno z poniższych kryteriów:

  • zatrudnienie powyżej 50 pracowników
  • roczny obrót przekraczający 10 milionów euro

Przy czym istnieją wyjątki - niezależnie od wielkości, dyrektywa obejmuje zawsze:

  • dostawców usług kluczowych
  • jedynych dostawców usługi w danym regionie
  • podmioty, których incydenty mogłyby spowodować zakłócenia w świadczeniu usług lub mieć wpływ na bezpieczeństwo publiczne
  • kluczowych dostawców dla administracji publicznej
  • przedsiębiorstwa zarządzające krytyczną infrastrukturą cyfrową (np. rejestry domen najwyższego poziomu, dostawcy DNS)

W praktyce oznacza to, że nawet stosunkowo niewielkie firmy z branży energetycznej, zdrowotnej czy telekomunikacyjnej muszą dostosować się do wymagań.

Obowiązki w zakresie raportowania dyrektywy NIS2

Serce dyrektywy stanowi obowiązek raportowania incydentów. Każde zdarzenie, które może zagrozić ciągłości usług lub bezpieczeństwu danych, musi zostać zgłoszone właściwym organom. Nie ma tu miejsca na dowolność czy uznaniowość.

Rodzaje incydentów podlegających zgłoszeniu:

  1. Incydenty znaczące - powodujące lub mogące spowodować poważne zakłócenie operacyjne
  2. Incydenty z potencjalnym dużym wpływem - nawet jeśli nie doszło do faktycznego naruszenia
  3. Cyberzagrożenia - konkretne informacje o potencjalnych atakach
  4. Near-miss incidents - zdarzenia, które zostały powstrzymane, ale mogły wywołać poważne konsekwencje

Kryteria znaczącego incydentu obejmują:

  • Znaczące zakłócenie operacyjne działalności
  • Wpływ na innych usługodawców lub klientów
  • Utrata danych lub naruszenie ich poufności
  • Znaczące straty finansowe
  • Zagrożenie dla bezpieczeństwa lub życia ludzi
  • Zakłócenie funkcjonowania usług publicznych

Czasowe ramy raportowania są bezwzględne:

  • 24 godziny od wykrycia incydentu - wstępne powiadomienie (early warning) zawierające podstawowe informacje o zdarzeniu, jego potencjalnym pochodzeniu i spodziewanych skutkach
  • 72 godziny - raport incydentu (incident notification) z większą ilością szczegółów technicznych, oceną wpływu i podjętymi działaniami naprawczymi
  • 1 miesiąc po rozwiązaniu problemu - kompleksowy raport końcowy (final report) zawierający szczegółową analizę przyczyn, opis przebiegu incydentu, wdrożone rozwiązania i rekomendacje na przyszłość

Te rygorystyczne terminy oznaczają konieczność posiadania sprawnego zespołu, który nie tylko potrafi reagować na incydenty, ale jest też w stanie je analizować i dokumentować równolegle z działaniami naprawczymi. Dla wielu firm, zwłaszcza tych bez doświadczonych działów IT, będzie to prawdziwe wyzwanie logistyczne.

Podmioty muszą raportować do krajowych zespołów CSIRT (Computer Security Incident Response Team), pojedynczych punktów kontaktowych lub właściwych organów nadzorczych wskazanych przez dane państwo członkowskie.

Charakterystyka obowiązków zgodności (compliance)

Zgodność z NIS2 to znacznie więcej niż tylko instalacja antywirusów i firewalli. To kompleksowe podejście wymagające systematycznego zarządzania cyberbezpieczeństwem na poziomie strategicznym.

Kluczowe obowiązki w zakresie compliance:

  1. Analiza i zarządzanie ryzykiem
    • Regularna ocena zagrożeń i podatności
    • Dokumentowanie procesu zarządzania ryzykiem
    • Implementacja strategii minimalizacji ryzyka
  2. Środki bezpieczeństwa technicznego
    • Bezpieczeństwo sieci i systemów
    • Zarządzanie kontrolą dostępu
    • Szyfrowanie i ochrona danych
    • Ochrona przed złośliwym oprogramowaniem
    • Bezpieczeństwo aplikacji i systemów
    • Zarządzanie podatnościami i patches
  3. Środki bezpieczeństwa organizacyjnego
    • Polityki bezpieczeństwa informacji
    • Zarządzanie incydentami
    • Zarządzanie ciągłością działania
    • Testowanie odporności systemów (penetration tests)
    • Plan reakcji na incydenty
  4. Zarządzanie łańcuchem dostaw
    • Weryfikacja dostawców
    • Klauzule bezpieczeństwa w umowach
    • Audyty bezpieczeństwa partnerów
  5. Szkolenia i świadomość personelu
    • Regularne szkolenia z cyberbezpieczeństwa
    • Programy budowania świadomości zagrożeń
    • Ćwiczenia i symulacje incydentów
  6. Zgodność z normami i standardami
    • Wdrożenie uznanych ram cyberbezpieczeństwa (np. NIST CSF, ISO 27001)
    • Regularne audyty zgodności
    • Certyfikacja systemów i procesów

Dyrektywa wymaga, aby środki bezpieczeństwa były proporcjonalne do ryzyka, aktualnego stanu wiedzy technicznej oraz kosztów wdrożenia. Oznacza to, że organizacje muszą dokumentować nie tylko wdrożone środki, ale także proces decyzyjny stojący za ich wyborem.

Najczęstszym błędem firm jest skupianie się wyłącznie na warstwach technicznych, podczas gdy NIS2 wymaga holistycznego podejścia. Dokumentacja działań staje się równie istotna jak same zabezpieczenia - bez niej nie będzie możliwe udowodnienie zgodności podczas kontroli.

Analiza ryzyka i zarządzanie łańcuchem dostaw

Analiza ryzyka to fundament zgodności z NIS2. Wymaga ona systematycznego podejścia do identyfikacji zagrożeń w trzech głównych obszarach:

Ryzyko technologiczne:

  • Podatności systemów operacyjnych i aplikacji
  • Luki w zabezpieczeniach infrastruktury
  • Zagrożenia sieciowe i architektura bezpieczeństwa
  • Bezpieczeństwo dostępu zdalnego i mobilnego
  • Bezpieczeństwo w chmurze

Ryzyko organizacyjne:

  • Procesy i procedury bezpieczeństwa
  • Komponent ludzki (świadomość, szkolenia, błędy)
  • Zarządzanie uprawnieniami i dostępami
  • Fizyczne bezpieczeństwo obiektów i systemów
  • Zarządzanie ciągłością działania

Ryzyko łańcucha dostaw:

  • Bezpieczeństwo dostawców i partnerów biznesowych
  • Ryzyko związane z outsourcingiem usług IT
  • Bezpieczeństwo oprogramowania i sprzętu od zewnętrznych dostawców
  • Zarządzanie interfejsami i integracjami z systemami partnerów

NIS2 wprowadza szczególny nacisk na bezpieczeństwo łańcucha dostaw (supply chain security), zobowiązując organizacje do uwzględnienia czynników ryzyka związanych z:

  • bezpośrednimi dostawcami produktów i usług
  • zależnościami od dostawców oprogramowania
  • praktykami w zakresie rozwoju oprogramowania u dostawców
  • typowymi podatnościami
  • potencjalnymi backdoorami w komponentach

W praktyce oznacza to konieczność weryfikacji bezpieczeństwa partnerów biznesowych, wdrożenia klauzul bezpieczeństwa w umowach oraz regularnego monitorowania zgodności dostawców z przyjętymi standardami. Organizacje muszą przeprowadzić dogłębną analizę swojego ekosystemu partnerów, zidentyfikować krytyczne zależności i wdrożyć mechanizmy nadzoru.

Rekomendowane praktyki w zarządzaniu ryzykiem łańcucha dostaw:

  1. Mapowanie całego łańcucha dostawców i identyfikacja krytycznych zależności
  2. Wprowadzenie wymagań bezpieczeństwa w procesie zakupowym i przetargowym
  3. Implementacja klauzul bezpieczeństwa w kontraktach
  4. Regularne oceny bezpieczeństwa kluczowych dostawców
  5. Monitoring ciągły dostawców usług krytycznych
  6. Plan awaryjny w przypadku kompromitacji dostawcy

Cyberbezpieczeństwo a odpowiedzialność zarządu

NIS2 wprowadza rewolucyjną zmianę w podejściu do odpowiedzialności za cyberbezpieczeństwo. Po raz pierwszy w historii UE, dyrektywa nakłada bezpośrednią odpowiedzialność na organy zarządzające organizacji (management bodies).

Zgodnie z art. 20 dyrektywy, członkowie organów zarządzających zobowiązani są do:

  • zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa
  • nadzorowania ich wdrożenia
  • przechodzenia odpowiednich szkoleń
  • regularnego rozliczania pracowników odpowiedzialnych za wdrażanie środków

W praktyce oznacza to, że zarządy i rady nadzorcze muszą aktywnie angażować się w kwestie cyberbezpieczeństwa, a nie delegować je wyłącznie do działów IT. Cyberbezpieczeństwo staje się elementem ładu korporacyjnego (corporate governance), a nie tylko kwestią techniczną.

Konsekwencje dla członków zarządu mogą być poważne - dyrektywa przewiduje możliwość nakładania sankcji osobistych, w tym:

  • kar finansowych
  • czasowego zakazu pełnienia funkcji zarządczych
  • odpowiedzialności cywilnej za szkody wynikające z zaniedbań

Dla wielu organizacji oznacza to konieczność przeformułowania sposobu, w jaki zarządy angażują się w kwestie cyberbezpieczeństwa:

  • Regularne raporty o stanie bezpieczeństwa dla zarządu
  • Cyberbezpieczeństwo jako stały punkt agendy posiedzeń zarządu
  • Dedykowany komitet ds. cyberbezpieczeństwa w radzie nadzorczej
  • Program szkoleń dla członków zarządu
  • Jasne zdefiniowanie odpowiedzialności poszczególnych członków zarządu

Role w organizacji - CISO i zespół cyberbezpieczeństwa

NIS2 nie narzuca konkretnej struktury organizacyjnej dla zarządzania cyberbezpieczeństwem, ale w praktyce wymaga utworzenia dedykowanych ról i zespołów. Kluczową postacią staje się CISO (Chief Information Security Officer) lub osoba pełniąca równoważną funkcję.

Rola CISO w kontekście NIS2:

  • Kształtowanie strategii bezpieczeństwa informacji
  • Nadzór nad wdrażaniem środków bezpieczeństwa
  • Raportowanie do zarządu o stanie bezpieczeństwa
  • Zarządzanie budżetem na cyberbezpieczeństwo
  • Koordynacja działań w przypadku incydentów
  • Łącznik między zespołami technicznymi a zarządem

Zespół cyberbezpieczeństwa powinien obejmować specjalistów w obszarach:

  • Bezpieczeństwo sieci i systemów
  • Zarządzanie podatnościami
  • Reagowanie na incydenty (incident response)
  • Zarządzanie ryzykiem
  • Zgodność z regulacjami (compliance)
  • Bezpieczeństwo aplikacji
  • Edukacja i budowanie świadomości

Pozycja CISO w strukturze organizacyjnej powinna zapewniać niezależność - idealnie, powinna to być osoba raportująca bezpośrednio do zarządu lub CEO, a nie podlegająca pod dział IT. Zapewnia to odpowiednią wagę tematom bezpieczeństwa oraz możliwość niezależnej oceny ryzyka.

Dla mniejszych organizacji, które nie mogą sobie pozwolić na dedykowany zespół, alternatywą może być:

  • Powierzenie roli CISO osobie z odpowiednimi kompetencjami w niepełnym wymiarze
  • Korzystanie z usług zewnętrznych (Virtual CISO)
  • Outsourcing części funkcji bezpieczeństwa do wyspecjalizowanych firm
  • Współdzielenie zasobów w ramach grupy kapitałowej

Sankcje i konsekwencje nieprzestrzegania NIS2

Dyrektywa nie pozostawia złudzeń - nieprzestrzeganie jej zapisów będzie surowo karane. NIS2 wprowadza znacznie ostrzejszy reżim sankcji niż poprzednia wersja, dając organom nadzorczym szerokie uprawnienia kontrolne i karne.

Przewidziane sankcje są całkiem dotkliwe:

  • Kary finansowe sięgające 10 milionów euro lub do 2% globalnego rocznego obrotu przedsiębiorstwa (zastosowanie ma kwota wyższa)
  • Bezpośrednia odpowiedzialność członków zarządu za zaniedbania
  • Możliwość wprowadzenia czasowych ograniczeń w prowadzeniu działalności
  • Nakazy tymczasowego zawieszenia certyfikacji lub autoryzacji
  • Tymczasowe zakazy pełnienia funkcji kierowniczych przez osoby odpowiedzialne

Organy nadzorcze otrzymują szerokie uprawienia kontrolne:

  • Przeprowadzanie audytów bezpieczeństwa
  • Wydawanie wiążących instrukcji
  • Żądanie informacji i dokumentacji
  • Dostęp do danych związanych z bezpieczeństwem systemów
  • Wydawanie nakazów usunięcia stwierdzonych nieprawidłowości

Warto podkreślić, że samo nieraportowanie incydentu może zostać uznane za zagrożenie dla bezpieczeństwa publicznego, co pociąga za sobą najsurowsze kary. Dla wielu firm taka kwota może oznaczać bankructwo, a dla członków zarządu - poważne konsekwencje osobiste i zawodowe.

Dyrektywa zobowiązuje państwa członkowskie do zapewnienia, że sankcje są "skuteczne, proporcjonalne i odstraszające", co sugeruje, że organy nadzorcze będą dążyć do przykładnego karania poważnych naruszeń.

Jak się przygotować? Praktyczne wskazówki

Przygotowanie do NIS2 wymaga systematycznego podejścia i zaangażowania całej organizacji. Oto 12-punktowy plan działania:

  1. Analiza zastosowania - Ustal, czy Twoja firma podlega pod dyrektywę - sprawdź sektor działalności, parametry wielkości i krytyczność usług.
  2. Ocena dojrzałości - Przeprowadź audyt obecnego stanu bezpieczeństwa (security maturity assessment), aby zidentyfikować luki w stosunku do wymagań NIS2.
  3. Mapa drogowa zgodności - Opracuj szczegółowy plan wdrożenia wymagań NIS2 z uwzględnieniem budżetu, zasobów i harmonogramu.
  4. Governance i odpowiedzialność - Ustal strukturę zarządzania cyberbezpieczeństwem, w tym rolę CISO i odpowiedzialność członków zarządu.
  5. Zarządzanie ryzykiem - Wdróż formalny proces zarządzania ryzykiem cyberbezpieczeństwa, który będzie regularnie aktualizowany.
  6. Polityki i procedury - Opracuj lub zaktualizuj dokumentację, w tym politykę bezpieczeństwa informacji, procedury reagowania na incydenty i plany ciągłości działania.
  7. Środki techniczne - Zaimplementuj niezbędne zabezpieczenia techniczne: ochronę sieci, systemów, danych i aplikacji.
  8. Zarządzanie dostawcami - Przeprowadź audyt bezpieczeństwa łańcucha dostaw i wdróż program zarządzania ryzykiem dostawców.
  9. Szkolenia i świadomość - Przeszkol pracowników i kadrę zarządzającą w zakresie ich obowiązków wynikających z NIS2.
  10. Proces raportowania incydentów - Zbuduj i przetestuj procedury wykrywania, analizy i raportowania incydentów zgodnie z wymaganiami czasowymi NIS2.
  11. Testy i symulacje - Regularnie testuj swoje zabezpieczenia i procedury reagowania poprzez ćwiczenia table-top i symulowane cyberataki.
  12. Monitorowanie i doskonalenie - Wdróż mechanizmy stałego monitorowania zgodności i doskonalenia systemu zarządzania bezpieczeństwem.

Nie warto czekać z przygotowaniami do ostatniej chwili - proces dostosowywania się do NIS2 jest czasochłonny i wymaga zaangażowania różnych działów firmy. Korzystanie z doświadczenia ekspertów cyberbezpieczeństwa może znacząco usprawnić ten proces.

Narzędzia wspierające zgodność z NIS2

Wdrożenie wymagań NIS2 można znacząco usprawnić, korzystając z dedykowanych narzędzi i ram:

Ramy zarządzania cyberbezpieczeństwem:

  • NIST Cybersecurity Framework - kompleksowe podejście do zarządzania ryzykiem cyberbezpieczeństwa
  • ISO/IEC 27001 - międzynarodowy standard zarządzania bezpieczeństwem informacji
  • ENISA's Risk Management Framework - europejskie podejście do zarządzania ryzykiem

Narzędzia techniczne:

  • Systemy zarządzania podatnościami (Vulnerability Management)
  • Platformy SIEM (Security Information and Event Management)
  • Narzędzia do automatyzacji compliance
  • Systemy GRC (Governance, Risk & Compliance)
  • EDR/XDR (Endpoint/Extended Detection and Response)

Dokumentacja i szablony:

  • Szablony polityk bezpieczeństwa zgodnych z NIS2
  • Procedury reagowania na incydenty
  • Kwestionariusze oceny dostawców
  • Metodyki analizy ryzyka

Szkolenia:

  • Programy budowania świadomości dla pracowników
  • Specjalistyczne szkolenia dla zespołów IT i bezpieczeństwa
  • Dedykowane warsztaty dla zarządu
  • Symulacje phishingowe i ćwiczenia reagowania na incydenty

Warto rozważyć inwestycję w platformy GRC (Governance, Risk & Compliance), które integrują zarządzanie ryzykiem, zgodność regulacyjną i raportowanie. Takie narzędzia mogą znacząco usprawnić proces przygotowania do NIS2 i późniejszego utrzymania zgodności.

Podsumowanie

NIS2 stanowi fundamentalną zmianę w podejściu do cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa nie tylko znacząco poszerza zakres podmiotów objętych regulacjami, ale także wprowadza surowe wymogi raportowania incydentów, zarządzania ryzykiem i odpowiedzialności zarządu.

Kluczowe aspekty NIS2, które każda organizacja powinna uwzględnić:

  • Znacznie szerszy zakres podmiotowy - 15-krotny wzrost liczby objętych organizacji
  • Rygorystyczne terminy raportowania incydentów (24h/72h/miesiąc)
  • Bezpośrednia odpowiedzialność członków zarządu
  • Surowe sankcje finansowe i administracyjne
  • Nacisk na bezpieczeństwo łańcucha dostaw
  • Wymóg wdrożenia adekwatnych środków technicznych i organizacyjnych

Wdrożenie zgodności z NIS2 nie powinno być traktowane wyłącznie jako obowiązek regulacyjny, ale także jako szansa na podniesienie dojrzałości organizacji w obszarze cyberbezpieczeństwa. Organizacje, które potraktują NIS2 jako katalizator zmian i zainwestują w kompleksowe podejście do bezpieczeństwa, nie tylko unikną sankcji, ale także zyskają przewagę konkurencyjną w coraz bardziej cyfrowym świecie.

Termin na dostosowanie się do wymagań dyrektywy jest nieubłagany - pełne stosowanie przepisów rozpocznie się 18 października 2024 roku. Organizacje powinny już teraz rozpocząć przygotowania, aby uniknąć pośpiechu i potencjalnych błędów w końcowej fazie implementacji.

FAQ: Najczęstsze pytania o raportowanie NIS2

  1. Czy moja organizacja podlega pod NIS2?

Twoja organizacja podlega pod NIS2, jeśli działa w jednym z sektorów kluczowych lub ważnych wymienionych w dyrektywie oraz spełnia kryterium wielkości (ponad 50 pracowników lub obrót powyżej 10 mln euro). Wyjątkiem są podmioty uznane za krytyczne niezależnie od wielkości - np. jedyni dostawcy usługi w regionie czy operatorzy infrastruktury krytycznej.

  1. Jakie są terminy implementacji NIS2?

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r. Państwa członkowskie mają czas do 17 października 2024 r. na transpozycję jej przepisów do prawa krajowego. Od 18 października 2024 r. przepisy zaczną być w pełni stosowane.

  1. Jakie incydenty trzeba raportować?

Raportowaniu podlegają "znaczące incydenty", czyli takie, które powodują lub mogą spowodować poważne zakłócenie operacyjne usług lub znaczące straty finansowe. Kryterium znaczącego wpływu obejmuje m.in. zakłócenie dostępności usług, utratę poufności danych, zniszczenie lub uszkodzenie danych oraz wpływ na inne podmioty.

  1. W jakich terminach trzeba raportować incydenty?

Wstępne powiadomienie należy wysłać w ciągu 24 godzin od wykrycia incydentu. Bardziej szczegółowy raport musi być dostarczony w ciągu 72 godzin. Raport końcowy należy złożyć w ciągu miesiąca po ustaniu incydentu.

  1. Komu należy raportować incydenty?

Incydenty należy raportować do właściwego organu krajowego. W Polsce będzie to najprawdopodobniej CSIRT NASK, CSIRT GOV lub CSIRT sektorowy

 

WYBIERZ SZKOLENIE Z ZAMÓWIEŃ PUBLICZNYCH
Ciekawostki prawne, ,