Dyrektywa NIS została przyjęta 6 lipca 2016 r. Jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Dyrektywa nakłada na państwa członkowskie szereg obowiązków, obliguje je do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. W Polsce jej zapisy realizuje ustawa o krajowym systemie cyberbezpieczeństwa (KSC) z 28 sierpnia 2018 roku.
Obecnie dyrektywa NIS zastąpiona została nową dyrektywą – NIS2, czyli Dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Dyrektywa uchyla tzw. Dyrektywę NIS (NIS1) z 2016 roku.
Jakie jest termin na wdrożenie NIS2 w UE?
Termin na wdrożenie Dyrektywy NIS2 przez państwa członkowskie UE do ich porządku prawnego upływa 17 października 2024 roku. W Polsce ta dyrektywa weszła w życie z dniem 1 października 2024 r.
Jaki jest cel wdrożenia NIS2?
Celem dyrektywy NIS2 jest wdrożenie jednolitego standardu bezpieczeństwa sieci i systemów informatycznych we wszystkich krajach UE, m.in. poprzez rozszerzenie zakresu podmiotów podlegających regulacjom i mających istotny wpływ na funkcjonowanie rynku wewnętrznego Unii oraz określenie obowiązków i sankcji, którym podlegają.
Jako cel nadrzędny należy wskazać wzmocnienie cyberodporności UE, w tym również w kontekście agresji Rosji na Ukrainę i wykorzystywania elementów cyberwojny przez Rosję.
Kogo dotyczy dyrektywa NIS2?
Dyrektywa NIS2 według szacunków dotknie do 40 000 podmiotów w Polsce z 18 sektorów gospodarki.
Dyrektywa określa:
- zagwarantowanie należytego poziomu cyberbezpieczeństwa ich sieci i systemów informacyjnych,
- zgłaszanie poważnych incydentów bezpieczeństwa do właściwych organów
- ciągłe podnoszenie świadomości pracowników w zakresie bezpieczeństwa teleinformatycznego
- podejmowanie działań zapobiegających incydentom.
Jakie kary przewidziano za brak zgodności z dyrektywą?
Dyrektywa NIS2 przewiduje bardzo wysokie kary finansowe dla podmiotów, które nie dostosują się do przepisów:
- max. co najmniej 10 mln EUR lub co najmniej 2% łącznego rocznego światowego obrotu dla podmiotów kluczowych,
- max. co najmniej 7 mln EUR lub co najmniej 1,4% łącznego rocznego światowego obrotu dla podmiotów ważnych,
przy czym zastosowanie ma wyższa kwota.
Ocena podległości wobec NIS2
Według raportu CSO Council „W oczekiwaniu na NIS2: stan przygotowań”, 25% podmiotów objętych badaniem nie wie, czy będzie dotkniętych dyrektywą lub błędnie uznaje, że nie będzie, pomimo formalnych przesłanek, że jest inaczej.
Weryfikacja tego, czy dany podmiot podlega wobec NIS2, to pierwszy krok do określenia planu działania.
