Czym jest NIS2?
NIS2 (Dyrektywa Parlamentu Europejskiego i Rady UE 2022/2555) to europejska dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Zastępuje pierwotną dyrektywę NIS z 2016 roku i znacząco rozszerza jej zakres.
Co zmienia NIS2 w stosunku do KSC?
- Więcej sektorów — dochodzą m.in.: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności, wytwarzanie wyrobów medycznych, administracja publiczna, przestrzeń kosmiczna
- Dwie kategorie podmiotów — podmioty kluczowe (essential) i podmioty ważne (important), z różnym poziomem nadzoru
- Odpowiedzialność zarządu — kadra kierownicza osobiście odpowiada za cyberbezpieczeństwo. Zarząd musi zatwierdzać środki zarządzania ryzykiem i przechodzić szkolenia
- Drastycznie wyższe kary — do 10 mln EUR lub 2% rocznego obrotu światowego dla podmiotów kluczowych
- Zarządzanie łańcuchem dostaw — obowiązek oceny ryzyka związanego z dostawcami i podwykonawcami
- Zgłaszanie incydentów — wstępne powiadomienie w ciągu 24h, pełne zgłoszenie w ciągu 72h
Kogo dotyczy NIS2 w Polsce?
Dyrektywa obejmuje średnie i duże organizacje (powyżej 50 pracowników lub powyżej 10 mln EUR obrotu) z sektorów objętych regulacją. W praktyce dotyczy to tysięcy organizacji w Polsce, w tym wielu, które dotąd nie podlegały regulacjom cyberbezpieczeństwa.
Wymiar kar
NIS2 wprowadza dwupoziomowy system kar:
- Podmioty kluczowe: do 10 000 000 EUR lub 2% całkowitego rocznego obrotu światowego
- Podmioty ważne: do 7 000 000 EUR lub 1,4% całkowitego rocznego obrotu światowego
Jak przygotować organizację?
SULI przeprowadza pełny gap analysis NIS2 — identyfikujemy luki między obecnym stanem cyberbezpieczeństwa a wymaganiami dyrektywy. Na tej podstawie budujemy roadmapę wdrożenia z priorytetami i terminami. Wspieramy od dokumentacji po wdrożenie techniczne.