Najczęściej zadawane pytania (FAQ)

Dyrektywa NIS 2 została opracowana jako odpowiedź na rosnące potrzeby w zakresie cyberbezpieczeństwa w Unii Europejskiej. Dotychczasowa dyrektywa NIS z 2016 roku okazała się niewystarczająca – państwa członkowskie wdrażały jej zapisy w różnym stopniu, co prowadziło do braku spójności i nieskuteczności w egzekwowaniu przepisów na poziomie krajowym. 

Od czasu wejścia w życie pierwotnej dyrektywy świat cyfrowy uległ ogromnym przemianom:

• nastąpił gwałtowny rozwój usług cyfrowych, takich jak bankowość internetowa, e-commerce czy e-administracja, 

• coraz mocniej zacierają się granice między systemami IT a przemysłowymi (IoT, IIoT), 

• pojawiły się nowe technologie, jak i sieci 5G, Przemysł 4.0 i infrastruktury definiowane programowo, 

• nastąpiła popularyzacja pracy zdalnej i rozwiązań chmurowych, 

• a także wzrost liczby usług świadczonych transgranicznie w ramach UE. 

Wszystkie te zmiany spowodowały wzrost podatności na ataki – zarówno wobec firm, obywateli, jak i całych sektorów kluczowych dla państw. Z tego powodu dyrektywa NIS 2 ma za zadanie podnieść poziom ochrony, ujednolicić standardy w UE oraz zwiększyć zdolność organizacji do przeciwdziałania i reagowania na współczesne cyberzagrożenia. Jej celem jest również ograniczenie wpływu ataków prowadzonych przez grupy przestępcze lub wrogie państwa, które stanowią coraz poważniejsze zagrożenie dla stabilności i ciągłości działania usług publicznych oraz infrastruktury krytycznej. 

Dyrektywa NIS 2 obejmuje średnie i duże organizacje (≥ 50 pracowników i obrót > 10 mln euro), działające w sektorach uznanych za istotne dla funkcjonowania UE i państw członkowskich.
Są to:

• sektory kluczowe dla gospodarki i społeczeństwa: energetyka, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, administracja publiczna, zarządzanie usługami ICT, przestrzeń kosmiczna, transport, infrastruktura cyfrowa
• sektory ważne dla gospodarki i społeczeństwa: usługi pocztowe i kurierskie, badania naukowe gospodarowanie odpadami, dostawcy cyfrowi, administracja publiczna (samorządowe jednostki zakłady i jednostki budżetowe, samorządowe instytucje kultury), produkcja (wyroby medyczne, produkty komputerowe, elektroniczne, maszyny i wyposażenie, samochody i sprzęt transportowy), produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności

Biorąc pod uwagę dwa kryteria (wielkość i ważność) podzielono podmioty podlegające pod NIS 2 na kluczowe i ważne.

W ramach dyrektywy NIS 2 wyróżnia się:

Podmioty kluczowe – duże organizacje (>250 pracowników oraz >50 mln EUR obrotu) działające w sektorach o fundamentalnym znaczeniu, czyli: energetyka, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, administracja publiczna, zarządzanie usługami ICT, przestrzeń kosmiczna, transport, infrastruktura cyfrowa.

Podmioty ważne – średnie firmy (>50 pracowników oraz >10 mln EUR obrotu) działające w branżach, takich jak:  usługi pocztowe i kurierskie, badania naukowe gospodarowanie odpadami, dostawcy cyfrowi, administracja publiczna (samorządowe jednostki zakłady i jednostki budżetowe, samorządowe instytucje kultury), produkcja (wyroby medyczne, produkty komputerowe, elektroniczne, maszyny i wyposażenie, samochody i sprzęt transportowy), produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności.

Podmioty kluczowe podlegają bardziej rygorystycznym kontrolom i wyższym karom w przypadku nieprzestrzegania przepisów.

Aby zostać zaklasyfikowana jako podmiot kluczowy, firma musi spełniać oba warunki – wielkość ((>250 pracowników oraz >50 mln EUR obrotu) i działalność w jednym z sektorów: energetyka, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, administracja publiczna, zarządzanie usługami ICT, przestrzeń kosmiczna, transport, infrastruktura cyfrowa.  
 
Jeśli firma nie spełnia warunku wielkości, ale działa w wyżej wymienionym sektorze to zostanie objęta NIS 2 jako podmiot ważny.  
 
Przykład 1: Firma ACME działa w energetyce (sektor wyszczególniony jako kluczowy), zatrudnia 100 pracowników oraz generuje obrót roczny 30 mln euro nie będzie podmiotem kluczowym (nie spełnia warunku wielkości). Firma ta zostanie objęta NIS 2, ale jako podmiot ważny. 
 
Przykład 2: Firma HealX działa w sektorze opieki zdrowotnej (sektor wyróżniony jako kluczowy), zatrudnia 300 pracowników oraz generuje obrót roczny 25 mln EUR (spełnia tylko jeden z wymienionych warunków wielkości = nie spełnia warunków wielkości). Firma ta zostanie objęta NIS 2, ale jako podmiot ważny.

Uwaga: w projekcie nowelizacji UKSC implementującej w Polsce NIS 2, za podmiot kluczowy będzie uznany również dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego przedsiębiorcy t.j. >10 pracowników i roczny obrót >2mln euro.

Aby zostać zaklasyfikowana jako podmiot ważny, firma musi spełniać oba warunki – wielkość (>50 pracowników oraz >10 mln EUR obrotu) i działalność w jednym z sektorów: usługi pocztowe i kurierskie, badania naukowe, gospodarowanie odpadami, dostawcy cyfrowi, administracja publiczna (samorządowe jednostki zakłady i jednostki budżetowe, samorządowe instytucje kultury), produkcja (wyroby medyczne, produkty komputerowe, elektroniczne, maszyny i wyposażenie, samochody i sprzęt transportowy), produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności.

Jeśli firma nie spełnia warunku wielkości, ale działa w wyżej wymienionym sektorze to nie zostanie objęta NIS 2.

Przykład 3: Firma Barone Sanitation działa w sektorze gospodarowania odpadami (sektor wymieniony jako ważny), zatrudnia 40 pracowników i generuje obrót roczny 8 mln EUR (nie spełnia warunku wielkości). Firma ta nie zostanie objęta dyrektywą NIS 2.

Przykład 4: Firma Komputerki działa w sektorze produkcji produktów komputerowych (sektor wymieniony jako ważny), zatrudnia 52 pracowników i generuje obrót roczny 8 mln EUR (spełnia tylko jeden z wymienionych warunków wielkości = nie spełnia warunków wielkości). Firma ta nie zostanie objęta dyrektywą NIS 2.

UWAGA: za podmiot kluczowy lub ważny może również zostać uznana firma, nie spełniająca warunków wielkości, jeżeli zostanie uznana za:

• dostawcę usług zaufania

• podmiot jest jedynym dostawcą usługi w kraju.

• podmiot, w którym potencjalne zakłócenie świadczenia usługi mogłoby mieć wpływ na bezpieczeństwo publiczne, bezpieczeństwo publiczne lub zdrowie publiczne.

Do liczby zatrudnionych należy wliczać również osoby współpracujące na podstawie umów innych niż umowa o pracę (np. umowa zlecenie, umowa o dzieło, kontrakt B2B) — pod warunkiem, że można je uznać za pracowników. 
Ma to miejsce w szczególności wtedy, gdy osoby te: 

• świadczą pracę wyłącznie na rzecz jednego podmiotu, 

• wykonują ją pod nadzorem, 

• pracują w miejscu i czasie wskazanym przez zlecającego lub zamawiającego usługę. 

Do liczby zatrudnionych nie należy wliczać osób zatrudnionych przez agencję pośrednictwa pracy.

Nie, dyrektywa NIS 2 nie została jeszcze formalnie wdrożona w Polsce. Proces implementacji ma nastąpić poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC).

Choć termin transpozycji dyrektywy NIS 2 do prawa krajowego upłynął 18 października 2024 roku, Polska – podobnie jak kilka innych państw członkowskich – nie dotrzymała tego terminu, co oznacza opóźnienie względem harmonogramu ustalonego przez Unię Europejską.

Data głosowania nad nowelizacją UoKSC nie została jeszcze oficjalnie ogłoszona, jednak według opinii ekspertów może ono nastąpić do końca 2025 roku.

Po uchwaleniu przepisów przewidziany jest okres przejściowy, wynoszący około 6 miesięcy, w trakcie którego organizacje będą zobowiązane dostosować się do nowych wymagań wynikających z dyrektywy NIS 2 i zaktualizowanej ustawy UoKSC.

Dyrektywa NIS 2 to unijny akt prawny, który określa ogólne zasady i minimalne wymagania dotyczące cyberbezpieczeństwa w państwach członkowskich UE.

UoKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa) to polska ustawa, która implementuje wymagania dyrektywy NIS (a wkrótce NIS 2) do krajowego porządku prawnego.

Po aktualizacji UoKSC będzie zawierać wszystkie obowiązki wynikające z NIS 2 – będzie więc podstawowym dokumentem regulującym obowiązki związane w cyberbezpieczeństwie w Polsce. 

Dyrektywa NIS 2 narzuca na podmioty 10 podstawowych obowiązków związanych z cyberbezpieczeństwem:  

1. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
2. Prowadzenie analizy ryzyka i wdrożenie polityk bezpieczeństwa systemów informatycznych
3. Zarządzanie incydentami cyberbezpieczeństwa i informowanie o nich odpowiednich organów
4. Wdrożenie planów ciągłości działania i zarządzania kryzysowego 
   
5. Zadbanie o bezpieczeństwo łańcucha dostaw 
   
6. Wdrozenie polityk i procedur służące ocenie skuteczności środków zarządzania
   
7. Wdrożenie podstawowe praktyk z zakresu cyberhigieny i szkoleń dla pracowników i zarządu
8. Zapewnienie bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci oraz systemów informatycznych
9. Stosowanie kryptografii i szyfrowania
   
10. Stosowanie uwierzytelniania wieloskładnikowego lub ciągłego

Za naruszenia przepisów dyrektywy NIS 2 przewidziano surowe kary i sankcje: 

• Kary finansowe:
  • Podmioty kluczowe: do 10 mln EUR lub 2% globalnego obrotu.
  • Podmioty ważne: do 7 mln EUR lub 1,4% obrotu.

Jeśli naruszenie przepisów dyrektywy NIS 2 bezpośrednio zagraża obronności, bezpieczeństwu państwa, porządkowi publicznemu lub życiu i zdrowiu ludzi lub spowoduje poważną szkodę majątkową bądź utrudnienia w świadczeniu usług – wówczas górny limit kary może zostać podniesiony nawet do 100 000 000 zł. 

• Zawieszenie świadczenia usług lub cofnięcie certyfikacji.
• Odpowiedzialność kierownika podmiotu (zarządu):
• publiczne oświadczenie określające osobę fizyczną i prawną odpowiedzialną za naruszenie oraz charakter tego naruszenia,
• zakaz pełnienia funkcji kierowniczych podmiocie na poziomie dyrektora generalnego lub przedstawiciela prawnego.
• kara finansowa do 300% miesięcznej pensji.

NIS 2 nie narzuca korzystania z konkretnej listy technologii poza kryptografią, szyfrowaniem, uwierzytelnianiem wieloskładnikowym oraz systemem  S46, który służyć będzie do zgłaszania incydentów do odpowiednich CSIRT-ów.

Wybór narzędzi cyberbezpieczeństwa powinien wynikać z analizy ryzyka, która jest jednym z obowiązków narzucanych przez NIS 2.

W ten sposób twórcy dyrektywy popychają organizacje w kierunku analizy obecnej sytuacji i potencjalnych wektorów ataku oraz wdrożenia rozwiązań cyberbezpieczeństwa dopasowanych do specyfiki organizacji.   

Ostrzegamy przed firmami, które reklamują swoje rozwiązania lub pakiety rozwiązań jako gotowy sposób na osiągnięcie zgodności z NIS 2. Takie działanie może zakończyć się negatywnym wynikiem audytu, karą lub co gorsza skutecznym cyberatakiem.

Wdrożenie NIS 2 warto rozpocząć od audytu luki, obejmującego zarówno analizę organizacyjną, jak i część techniczną. Taki audyt pozwala ocenić, na ile aktualne procedury i zabezpieczenia spełniają wymagania dyrektywy, a także zidentyfikować obszary wymagające poprawy.

Kluczowe jest, aby audyt nie ograniczał się do wskazania braków, lecz zawierał konkretne, dopasowane rekomendacje, umożliwiające opracowanie realistycznego planu działania. Dzięki temu organizacja zyskuje nie tylko wiedzę o stanie obecnym, ale również podstawę do stworzenia harmonogramu i budżetu wdrożenia, uwzględniającego zarówno wymagania formalne, jak i realne możliwości operacyjne.

Do obowiązków kierownika podmiotu należą: 

• Ocena ryzyk cybernetycznych i ich wpływu na działalność podmiotu.
• Zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa.
• Regularne szkolenia (co najmniej raz w roku) umożliwiające:
  • identyfikację zagrożeń i ocenę ryzyk cybernetycznych,
  • ocenę praktyk zarządzania ryzykiem cyberbezpieczeństwa,
  • ich wpływu na działalność podmiotu. 

Możemy wyróżnić trzy tryby kontroli.  
 
Nadzór następczy czyli kontrola przeprowadzana w podmiotach kluczowych i ważnych po wystąpieniu incydentu bezpieczeństwa. Dotyczy zarówno podmiotów kluczowych, jak i ważnych. Za jej realizację odpowiadają osoby wyznaczone przez właściwe ministerstwo ze wsparciem CSIRT sektorowych I poziomu krajowego. 
 

Nadzór prewencyjny (proaktywny) – to cykliczne kontrole w podmiotach kluczowych, sprawdzające czy organizacja spełnia wymagania wynikające z dyrektywy NIS 2 oraz znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa. Ten rodzaj kontroli będzie stosowany głównie wobec podmiotów kluczowych i, podobnie jak w pierwszym przypadku, przeprowadzany przez przedstawicieli odpowiedniego ministerstwa ze wsparciem CSIRT sektorowych I poziomu krajowego. 
 
Kontrole doraźne – przeprowadzane w podmiotach kluczowych w uzasadnionych przypadkach w związku z wystąpieniem poważnego incydentu, związku z naruszeniem dyrektywy lub w innych przypadkach.

Incydenty należy zgłaszać do odpowiedniego CSIRT poziomu krajowego, w zależności od sektora działalności: 

CSIRT GOV – dla instytucji administracji publicznej, 

CSIRT MON – dla sektorów związanych z obronnością i bezpieczeństwem, 

CSIRT NASK – dla pozostałych podmiotów, głównie sektora cywilnego i prywatnego. 
 
Zgłoszenie incydentu odbywa się za pomocą systemu S46 (system do komunikacji dwustronnej z określonym CSIRT-em) 
 
Za pomocą systemu S24 podmioty kluczowe i ważne zobowiązane są do przesyłania:  
 
Wczesne ostrzeżenie – do 24h od zdobycia wiedzy o poważnym incydencie. 
 
Wczesne ostrzeżenie powinno zawierać informacje:  

• Czy incydent wywołany był działaniem bezprawnym? 
• Czy incydent wywołany był działaniem w złym zamiarze? 
• Czy ma wpływ transgraniczny? 

Zgłoszenie incydentu – do 72h od zdobycia wiedzy o poważnym incydencie.

• Aktualizacja wcześniejszych informacji.
• Wstępna ocena dotkliwości i skutków.
• Wskaźniki integralności systemów (jeśli dotyczy)

Raport końcowy – do miesiąca od zdobycia wiedzy o poważnym incydencie.

• Szczegółowy opis incydentu – waga, wpływ, dotkliwość i skutki.
• Rodzaj zagrożenia, pierwotna przyczyna incydentu.
• Zastosowane i wdrażane środki zaradcze ograniczające ryzyko.
• Transgraniczne skutki (jeśli dotyczy).