Jednym z największych mitów wokół NIS2 jest przekonanie, że dyrektywa dotyczy wyłącznie kilku klasycznych branż krytycznych, takich jak energetyka czy bankowość. Tymczasem unijne przepisy obejmują aż 18 sektorów, podzielonych na sektory o wysokiej krytyczności oraz inne sektory krytyczne. To oznacza, że lista podmiotów, które powinny sprawdzić swój status, jest dziś dużo dłuższa niż w czasach NIS1.
- NIS2 ustanawia wspólne ramy cyberbezpieczeństwa dla 18 sektorów krytycznych w UE
- Sektory dzielą się na dwie grupy: o wysokiej krytyczności oraz inne sektory krytyczne
- Sama obecność w danym sektorze nie zawsze wystarczy — znaczenie mają też wielkość firmy i charakter usług
- Zakres NIS2 wyraźnie poszerzono względem NIS1, obejmując m.in. więcej usług cyfrowych, produkcję, pocztę i administrację
Pierwsza grupa to sektory o wysokiej krytyczności. Należą do niej: energia, transport, bankowość, infrastruktury rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna oraz sektor kosmiczny. Już ten katalog pokazuje, że NIS2 nie mówi wyłącznie o „twardej” infrastrukturze. Obejmuje również cyfrowe fundamenty gospodarki, usługi zarządzane i obszary, w których zakłócenie może szybko przełożyć się na efekt domina.
W tej samej grupie mieszczą się też konkretne typy usług, które biznes często błędnie traktuje jako neutralne dodatki.
Mowa m.in. o operatorach punktów wymiany ruchu internetowego, dostawcach DNS, rejestrach domen najwyższego poziomu, dostawcach usług chmurowych, centrach danych, sieciach dostarczania treści, dostawcach usług zaufania, dostawcach publicznych sieci łączności elektronicznej oraz dostawcach usług zarządzanych i usług bezpieczeństwa zarządzanego.
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
Druga grupa to inne sektory krytyczne. Tu znajdziemy usługi pocztowe i kurierskie, gospodarkę odpadami, sektor chemiczny, sektor spożywczy, wybrane rodzaje produkcji, dostawców usług cyfrowych oraz organizacje badawcze.
W obszarze produkcji dyrektywa wymienia m.in. wytwarzanie urządzeń medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów, przyczep oraz innego sprzętu transportowego. To znaczące rozszerzenie wobec wcześniejszego podejścia rynku do cyberregulacji.
W praktyce firmy najczęściej popełniają dwa błędy. Po pierwsze, patrzą wyłącznie na nazwę branży i nie sprawdzają, czy wykonują konkretny rodzaj działalności wskazany w dyrektywie. Po drugie, zakładają, że jeśli nie są „infrastrukturą krytyczną”, to NIS2 ich nie dotyczy. Tymczasem dyrektywa została zaprojektowana właśnie po to, by objąć więcej sektorów zdigitalizowanych, silnie powiązanych i ważnych dla gospodarki oraz społeczeństwa.
Trzeba też pamiętać, że sektor to dopiero pierwszy krok. O tym, czy obowiązki realnie powstają, decyduje jeszcze wielkość organizacji, kategoria podmiotu oraz wyjątki przewidziane dla niektórych usług. Dlatego sama odpowiedź „działamy w chemii” albo „jesteśmy software house’em” nie wystarcza.
Najbardziej praktyczny wniosek jest prosty: jeśli firma działa w jednym z 18 sektorów albo dostarcza usługi wymienione w załącznikach NIS2, nie powinna odkładać oceny na później. Najpierw trzeba ustalić sektor i typ działalności, a dopiero potem ocenić skalę obowiązków.
Sprawdź raport i unikalne dane z badania: NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
Jakie sektory są objęte dyrektywą NIS2? — FAQ
Ile sektorów obejmuje NIS2?
Dyrektywa ustanawia wspólne ramy cyberbezpieczeństwa dla 18 sektorów krytycznych w Unii Europejskiej.
Czy NIS2 obejmuje tylko klasyczną infrastrukturę krytyczną?
Nie. Obejmuje także m.in. usługi cyfrowe, usługi zarządzane, pocztę, badania, wybrane obszary produkcji i administrację publiczną.
Czy obecność w jednym z sektorów automatycznie oznacza pełne obowiązki?
Nie zawsze. Sektor jest punktem wyjścia, ale trzeba jeszcze sprawdzić wielkość podmiotu, typ usług i ewentualne wyjątki.
Czytaj też:
