NIS2 rozszerza obowiązki cyberbezpieczeństwa na 18 sektorów i wprowadza jasną zasadę: w wybranych branżach wchodzą do zakresu co do zasady wszystkie średnie i duże organizacje. Do tego państwa mogą objąć część mniejszych podmiotów, jeśli mają wysokie ryzyko lub szczególne znaczenie.
- NIS2 dzieli podmioty na „kluczowe” (essential) i „ważne””” (important) z różnym reżimem nadzoru
- Co do zasady wchodzą do zakresu średnie i duże organizacje działające w sektorach z dyrektywy
- Państwo może wskazać też mniejsze podmioty o wysokim profilu ryzyka, dlatego warto zrobić kwalifikację, a nie zgadywać
- Lista sektorów obejmuje m.in. energię, transport, zdrowie, wodę, infrastrukturę cyfrową i usługi zarządzane ICT, ale też pocztę, odpady, chemię, żywność, wybraną produkcję i badania
Kto „musi” wdrożyć NIS2? W praktyce: każdy podmiot, który spełnia kryteria wejścia do zakresu dyrektywy – niezależnie od tego, czy dziś uważa się za „krytyczny”. Najpierw sprawdza się sektor i typ działalności (czy firma faktycznie wykonuje usługę wskazaną w NIS2), a dopiero potem wielkość i wyjątki.
Dyrektywa wyróżnia dwa koszyki organizacji. Podmioty kluczowe (essential) są objęte bardziej intensywnym nadzorem ex ante (np. częstsze audyty i kontrole). Podmioty ważne (important) również muszą spełniać wymagania, ale nadzór jest zwykle bardziej reaktywny. Dla biznesu wniosek jest prosty: nawet jeśli firma nie jest „kluczowa”, może być „ważna” – a obowiązki i tak powstają.
Sprawdź: Czy twoja firma podlega NIS2 – ocena zgodności
Największa zmiana NIS2 to próg wielkościowy. Komisja wskazuje, że w sektorach objętych dyrektywą do zakresu mają co do zasady wchodzić wszystkie średnie i duże firmy. To oznacza, że w wielu branżach w grze są nie setki, lecz tysiące podmiotów: od centrów danych, dostawców chmury czy usług zaufania, przez firmy w produkcji urządzeń i maszyn, po podmioty z łańcucha usług pocztowych i gospodarki odpadami.
Są też sytuacje, w których „wielkość” nie chroni. NIS2 zakłada wyjątki i daje państwom możliwość objęcia mniejszych organizacji, jeśli mają wysoki profil ryzyka lub są ważne dla społeczeństwa i gospodarki.
Dlatego poprawna kwalifikacja powinna uwzględniać nie tylko zatrudnienie i obrót, ale też rolę w łańcuchu dostaw oraz to, czy zakłócenie usługi uderzy w wielu klientów lub instytucje.
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
Kto musi wdrożyć NIS2?
Jak to przełożyć na działanie? Najprościej w 4 krokach:
- Sprawdź, czy twoja działalność podpada pod sektor i typ podmiotu z NIS2
- Oceń wielkość organizacji
- Zweryfikuj wyjątki i krajowe doprecyzowania
- Jeśli wynik to „tak” lub „prawdopodobnie”, uruchom plan wdrożenia: analiza ryzyka, procedury incydentowe, przegląd dostawców i przygotowanie zarządu do odpowiedzialności
Warto też pamiętać, że „wdrożyć NIS2” nie oznacza jednego dokumentu. To zestaw minimalnych praktyk zarządzania ryzykiem cyber, które mają działać w realnym kryzysie: obsługa incydentów, bezpieczeństwo łańcucha dostaw, zarządzanie podatnościami i ujawnianiem luk, kryptografia i – gdy to zasadne – szyfrowanie. Jeśli te elementy w firmie nie istnieją albo są tylko na papierze, wdrożenie trzeba zacząć od fundamentów.
FAQ
1. Czy NIS2 dotyczy tylko infrastruktury krytycznej?
Nie. NIS2 obejmuje 18 sektorów i co do zasady średnie oraz duże organizacje w tych sektorach, a państwa mogą objąć także część mniejszych podmiotów o wysokim ryzyku.
2. Czym różni się podmiot kluczowy od ważnego?
Różnią się głównie reżimem nadzoru: kluczowe podlegają bardziej intensywnemu nadzorowi, a ważne – nadal mają obowiązki, ale często z bardziej reaktywnym podejściem kontrolnym.
3. Jak szybko firma powinna sprawdzić, czy podlega NIS2?
Od razu, jeśli działa w jednym z sektorów wskazanych w NIS2. Samo „prawdopodobieństwo” wejścia w zakres uzasadnia kwalifikację i plan wdrożenia.
Czytaj też:
