Dyrektywa NIS2 to unijny akt, który znacząco rozszerza obowiązki w zakresie cyberbezpieczeństwa. W stosunku do pierwszej dyrektywy NIS zmienia się skala: obejmuje więcej sektorów, więcej firm i wprowadza osobistą odpowiedzialność kierownictwa. Dla wielu organizacji MŚP to pierwszy raz, gdy bezpieczeństwo informacji staje się wymogiem prawnym, a nie dobrą praktyką. Poniżej praktyczne wyjaśnienie, kogo to dotyczy i co oznacza.
Podmioty kluczowe i ważne
NIS2 dzieli objęte organizacje na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Podział opiera się na sektorze działalności oraz wielkości firmy, mierzonej liczbą zatrudnionych, obrotem i sumą bilansową.
- Podmioty kluczowe to organizacje z sektorów o najwyższym znaczeniu dla funkcjonowania państwa i gospodarki, zwykle o większej skali.
- Podmioty ważne to szeroka grupa organizacji z pozostałych objętych sektorów, w tym wiele średnich firm.
Różnica ma znaczenie praktyczne. Obie kategorie mają podobne obowiązki merytoryczne, ale różni je tryb nadzoru. Podmioty kluczowe podlegają nadzorowi prewencyjnemu, czyli kontrolom także bez sygnału o problemie. Podmioty ważne są nadzorowane reaktywnie, gdy pojawi się podejrzenie naruszenia.
Sektory objęte dyrektywą
Lista sektorów jest szeroka i to właśnie ona zaskakuje najwięcej firm. Obejmuje między innymi energetykę, transport, bankowość, infrastrukturę rynków finansowych, ochronę zdrowia, wodę pitną i ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, administrację publiczną i przestrzeń kosmiczną. Do tego dochodzą sektory określane jako ważne: usługi pocztowe, gospodarka odpadami, produkcja i dystrybucja chemikaliów, żywność, produkcja wyrobów, w tym urządzeń medycznych i elektroniki, oraz dostawcy usług cyfrowych.
W praktyce najwięcej firm myli się w jednym miejscu: zakładają, że skoro nie są bankiem ani elektrownią, dyrektywa ich nie dotyczy. Tymczasem producent wyrobów, firma logistyczna czy dostawca usług cyfrowych bardzo często się na nią łapie.
Aby ocenić własną sytuację, trzeba połączyć dwa pytania: czy działam w objętym sektorze oraz czy przekraczam progi wielkości. Generalnie dyrektywa celuje w firmy średnie i większe, ale są wyjątki, w których obejmuje także mniejsze podmioty ze względu na ich krytyczną rolę.
Łańcuch dostaw, czyli efekt pośredni
Nawet jeśli formalnie nie jesteś podmiotem kluczowym ani ważnym, NIS2 może dosięgnąć Cię pośrednio. Objęte firmy mają obowiązek zarządzać bezpieczeństwem swojego łańcucha dostaw. W praktyce oznacza to, że będą wymagać odpowiedniego poziomu bezpieczeństwa od swoich dostawców, w tym umownie.
Jeśli obsługujesz klienta objętego dyrektywą, spodziewaj się pytań o Twoje zabezpieczenia, kopie zapasowe i procedury reagowania na incydenty. Zgodność staje się wtedy warunkiem utrzymania kontraktu, a nie tylko obowiązkiem prawnym.
Obowiązki, które nakłada dyrektywa
NIS2 wymaga wdrożenia środków zarządzania ryzykiem adekwatnych do skali zagrożeń. To podejście oparte na ryzyku, a nie zamknięta lista produktów do kupienia. Do kluczowych obszarów należą:
- Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych.
- Obsługa incydentów, w tym ich wykrywanie, reagowanie i dokumentowanie.
- Ciągłość działania, zarządzanie kopiami zapasowymi i odtwarzanie po awarii.
- Bezpieczeństwo łańcucha dostaw i relacji z dostawcami.
- Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania systemów.
- Polityki oceny skuteczności zastosowanych środków.
- Podstawowa higiena cyberbezpieczeństwa i szkolenia.
- Kryptografia i szyfrowanie tam, gdzie to zasadne.
- Kontrola dostępu, zarządzanie tożsamością i uwierzytelnianie wieloskładnikowe.
Osobnym, twardym obowiązkiem jest zgłaszanie incydentów. Firma musi umieć wykryć poważny incydent, ocenić go i zgłosić właściwemu organowi w wyznaczonych terminach, z wczesnym ostrzeżeniem liczonym w godzinach i pełniejszym raportem w kolejnych dniach. To wymaga nie tylko narzędzi, ale i decyzji, kto i na jakiej podstawie uruchamia zgłoszenie.
Odpowiedzialność zarządu
Najważniejsza zmiana filozoficzna NIS2 dotyczy kierownictwa. Dyrektywa nakłada na organy zarządzające obowiązek zatwierdzania środków zarządzania ryzykiem i nadzoru nad ich wdrożeniem. Zarząd musi też przejść szkolenie, żeby rozumieć ryzyka, o których decyduje.
Kluczowe jest to, że odpowiedzialności nie da się w pełni scedować na dział IT ani na zewnętrznego dostawcę. Bezpieczeństwo staje się tematem zarządu, tak jak finanse czy zgodność prawna. To świadoma decyzja ustawodawcy, żeby przełożyć uwagę kierownictwa na realne działanie, a nie na podpis pod dokumentem.
Kary za brak zgodności
NIS2 przewiduje dotkliwe sankcje finansowe, celowo wysokie, aby zgodność opłacała się bardziej niż ryzyko. Dla podmiotów kluczowych i ważnych ustalono różne górne pułapy kar administracyjnych, liczonych kwotowo lub jako procent rocznego obrotu, w zależności od tego, która wartość jest wyższa.
Poza karami finansowymi organy nadzoru dysponują innymi środkami: mogą nakazać konkretne działania naprawcze, a w skrajnych przypadkach czasowo ograniczyć możliwość pełnienia funkcji przez osoby na stanowiskach kierowniczych. To dodatkowo podkreśla osobisty wymiar odpowiedzialności.
Od czego zacząć
Pierwszy krok jest zawsze ten sam: ustal, czy i w jakiej kategorii dyrektywa Cię obejmuje, a następnie zrób uczciwą analizę luk między stanem obecnym a wymaganiami. Dopiero na tej podstawie ma sens plan wdrożenia, uszeregowany według ryzyka, a nie według tego, co najłatwiej kupić.
Jeśli chcesz rzetelnie ocenić swoją sytuację, dobrym punktem wyjścia jest analiza ryzyka połączona z audytem stanu obecnego. Na tej podstawie prowadzimy wdrożenie NIS2 tak, żeby zgodność podnosiła bezpieczeństwo firmy, a nie była tylko papierem do szuflady. Zacznij od diagnozy, zanim zaczniesz wydawać budżet.