Dyrektywa NIS2: co to i kogo dotyczy?

Dyrektywa NIS2 (Network and Information Security Directive 2) to druga odsłona dyrektywy Unii Europejskiej dotyczącej bezpieczeństwa sieci i informacji. Pierwszą wersję dyrektywy, znana jako NIS Directive, przyjęto w 2016 roku. Wprowadziła ona obowiązki dotyczące zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych dla podmiotów działających w sektorach usług istotnych dla społeczeństwa i gospodarki. Należą do nich np. energetyka, transport, bankowość i opieka zdrowotna. NIS2 ma na celu rozszerzenie, wzmocnienie i zharmonizowanie wdrażania istniejących ram bezpieczeństwa cybernetycznego UE. Propozycja NIS2 rozszerza zakres podmiotowy dotychczasowej dyrektywy m.in. o administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną. Szerzej traktuje również niektóre inne sektory, m.in. rozszerzenie zakresu infrastruktury cyfrowej.

System NIS2 ma zastosowanie do każdej organizacji prowadzącej lub świadczącej działalność na terenie UE, która świadczy konsumentom usługi podstawowe. Przykłady obejmują dostawców Internetu, dostawców energii, przedsiębiorstwa dostarczające wodę pitną, przetwórców odpadów, banki, przewoźników i instytucje opieki zdrowotnej. Na liście znalazły się również fabryki produkujące żywność lub główne artykuły gospodarstwa domowego. Wartymi uwagi wyjątkami będą mniejsze przedsiębiorstwa, które można by uznać za istotne, ale nie spełniają one limitu wielkości. Oczekuje się, że ich roczny przychód wyniesie 10 mln EUR i/lub zatrudniają mniej niż 50 osób. Istnieją również inne podmioty wyraźnie wyłączone przez państwa członkowskie.

NIS2 obejmuje szerszy zakres podmiotów, w tym operatorów platform internetowych, dostawców usług chmurowych i dostawców systemów operacyjnych. Dyrektywa NIS2 przewiduje wzmocnienie współpracy między państwami członkowskimi UE w zakresie zapobiegania incydentom cybernetycznym. Dyrektywa NIS2 nakłada na państwa członkowskie obowiązek ustanowienia strategii cyberbezpieczeństwa oraz promowanie inwestycji w odpowiednie środki i mechanizmy zapewniające wysoki poziom bezpieczeństwa sieci i informacji. W związku z tym, firma Delkom 2000 również wdraża dyrektywę NIS2. Jeśli masz pytania – zadzwoń lub napisz, a my zajmiemy się resztą.

• Nowa dyrektywa obejmuje więcej sektorów i zmienia sposób klasyfikacji przedsiębiorstw.
• Intensywniejszy nacisk na organy zarządzające spółek objętych zakresem działania
• Zaostrzenie wymogów bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu
• Wymogi dotyczące zgłaszania incydentów zaostrzono, a sankcje za ich nieprzestrzeganie - podwyższono.
• W NIS2 nie ma już rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych. Organizacje sklasyfikowano według ich znaczenia i podzielono na kategorie kluczowe oraz ważne. W wyniku tego podlegają one różnym rygorom kontroli nadzorczej.