Dyrektywa NIS2 w kilku krokach – sprawdź czy się kwalifikujesz!

Dyrektywa NIS2 w kilku krokach – sprawdź czy się kwalifikujesz!

Dyrektywa NIS2, wprowadzona przez Unię Europejską, ma na celu wzmocnienie ochrony przed cyberzagrożeniami i zwiększenie odporności kluczowych sektorów gospodarki na ataki cybernetyczne. Przyjęcie ustawy określającej datę wejścia w życie dyrektywy w Polsce zapowiedziano na październik 2024 roku. Nowe przepisy obejmują szeroki wachlarz przedsiębiorstw i instytucji, które mają szczególne znaczenie dla funkcjonowania państw członkowskich i całej gospodarki europejskiej. Podmioty te są klasyfikowane jako kluczowe lub ważne, w zależności od skali ich działalności i potencjalnego wpływu zakłóceń na bezpieczeństwo publiczne, gospodarkę czy zdrowie. Istotnym elementem w kwalifikacji jest także wielkość przedsiębiorstwa, a w niektórych przypadkach także znaczenie usług, które świadczą.

Na początku może się to wydawać skomplikowane, jednak mamy nadzieję, że po zapoznaniu się z poniższym artykułem, łatwiej Wam będzie zrozumieć,
które przedsiębiorstwa i instytucje podlegają nowym przepisom.

Tak jak wcześniej wspomniano, dyrektywa NIS2 dzieli podmioty na kluczowe i ważne. Jeśli Twoje przedsiębiorstwo kwalifikuje się do jednej z tych grup, będziesz zobowiązany do spełnienia określonych wymogów. Szczegółowo o obowiązkach przeczytasz jednak w innym artykule na naszej stronie. Tutaj skupimy się na tym,
jak sprawdzić, czy Twoja firma rzeczywiście podlega nowym regulacjom.

PODMIOTY KLUCZOWE

Pierwszym krokiem jest zwrócenie uwagi na sektor, w którym działasz.
Jeśli Twoja firma działa w jednym z obszarów „sektory kluczowe”,
to jest szansa, że kwalifikujesz się do podmiotów kluczowych.
Dlaczego „szansa”? Ponieważ przy tym kroku należy pamiętać,
że podmiotami kluczowymi z tych obszarów są tylko przedsiębiorstwa przekraczające pułap średnich firm, co oznacza zatrudnianie od 50 osób
oraz posiadanie rocznych obrotów lub sumy bilansowej na poziomie
od 10mln euro. Jeśli nie spełniasz tego warunku, kwalifikujesz się jako podmiot ważny.

Kto jeszcze zalicza się do podmiotów kluczowych:

  • klasyfikowani dostawcy usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawców usług DNS, niezależnie od ich wielkości;
  • dostawcy publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, które kwalifikują się jako średnie przedsiębiorstwa;
  • podmioty administracji publicznej na poziomie rządu centralnego zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym;
  • inne podmioty z sektorów wymienionych w załączniku I lub II do dyrektywy (patrz „sektory kluczowe” i „sektory ważne”), które zostały wskazane przez państwo członkowskie jako podmioty kluczowe;
  • podmioty wskazane jako podmioty krytyczne na podstawie dyrektywy o odporności podmiotów krytycznych;
  • podmioty wskazane przez państwo członkowskie przed wejściem w życie NIS2 jako operatorzy usług kluczowych.

PODMIOTY WAŻNE

Tutaj ponownie, należy zacząć od zwrócenia uwagi na sektor działania.
Jeśli Twoja firma działa w jednym z wymienionych obok obszarów
sektory ważne„, kwalifikujesz się do grupy podmiotów ważnych.

Kto jeszcze zalicza się do podmiotów ważnych:

  • podmioty z wymienionych w załącznikach I i II do dyrektywy NIS2 sektorów, które nie kwalifikują się jako podmioty kluczowe.

Treść całej dyrektywy NIS2, w tym pełny opis sektorów (załączniki I i II), znajdziecie tutaj: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555

Jak od właściwie każdej zasady, tak i tutaj występują pewne wyjątki. Podmiot bowiem może zostać sklasyfikowany, niezależnie od wielkości jako kluczowy lub ważny jeśli:

  1. należy do grupy usługodawców świadczących usługi:
    1. jako dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej;
    2. jako dostawcy usług zaufania;
    3. jako rejestr nazw domen najwyższego poziomu, oraz dostawcy usług systemów nazw domen;
  2. podmiot jest jedynym w danym państwie członkowskim dostawcą usługi, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej;
  3. zakłócenie usługi świadczonej przez podmiot mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne;
  4. zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny;
  5. podmiot ma charakter krytyczny ze względu na jego szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi lub dla innych współzależnych sektorów w państwie członkowskim;
  6. podmiot jest podmiotem administracji publicznej:
    1. na poziomie rządu centralnego, zdefiniowanym przez państwo członkowskie, zgodnie z prawem krajowym; lub
    2. na poziomie regionalnym, zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym, który zgodnie z oceną opartą na analizie ryzyka świadczy usługi, których zakłócenie mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą.
  7. podmioty zidentyfikowane jako podmioty mające charakter krytyczny na mocy dyrektywy (UE) 2022/2557,
  8. podmioty świadczące usługi rejestracji nazw domen,
  9. decyzją państw członkowskich:
    1. podmioty administracji publicznej na poziomie lokalnym;
    2. instytucje edukacyjne, zwłaszcza gdy prowadzą one działalność badawczą o krytycznym znaczeniu.

Istnieje także kilka grup podmiotów, co do których nie stosuje się dyrektywy NIS2:

  • podmioty administracji publicznej prowadzące działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa (w tym prewencji przestępstw, prowadzenia postępowań, wykrywania przestępstw i ich ścigania);
  • określone podmioty, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania, lub które świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, o których mowa w pkt. wyżej, które zostaną zwolnione przez państwa członkowskie z obowiązków ustanowionych w art. 21 lub 23 w odniesieniu do tych działań lub tych usług. Zwolniony podmiot nie podlega pod przepisy dotyczące nadzoru i egzekwowania przepisów (rozdział VII) w zakresie zwolnionej działalności. Jeżeli powyższa działalność jest jedyną, jaką prowadzi podmiot, może zostać zwolniony również z obowiązków wynikających z art. 3 i 27 (przekazanie danych w celach rejestracyjnych).

Na koniec pamiętajcie o jeszcze jednej istotnej kwestii – łańcuchu dostaw. Zasady bezpieczeństwa zawarte w dyrektywie NIS2 dotyczą nie tylko samych podmiotów kluczowych i ważnych, ale również ich dostawców oraz klientów biznesowych, i to w obie strony. Co to oznacza w praktyce?

Podmioty kluczowe i ważne są zobowiązane do kontrolowania swojego łańcucha dostaw pod kątem przestrzegania zasad bezpieczeństwa. Z drugiej strony, firmy działające w ramach tego łańcucha, które chcą utrzymać współpracę z podmiotami objętymi NIS2, również będą musiały wdrożyć odpowiednie środki bezpieczeństwa. Dotyczy to również mikro i małych przedsiębiorców, którzy współpracują z firmami z sektorów objętych dyrektywą – jako poddostawcy, kontrahenci czy klienci biznesowi, będą oni zobligowani do spełniania wymagań z zakresu cyberbezpieczeństwa, wynikających z NIS2.

Dyrektywa NIS2 wprowadza istotne zmiany w zakresie cyberbezpieczeństwa, które mogą mieć wpływ na Twoje przedsiębiorstwo. Bez względu na to, czy Twoja firma kwalifikuje się jako podmiot kluczowy, ważny, czy funkcjonuje w ramach łańcucha dostaw – odpowiednie zabezpieczenia to nie tylko wymóg prawny, ale także ochrona przed coraz bardziej złożonymi zagrożeniami cyfrowymi.

Jeśli po przeczytaniu tego artykułu nadal masz wątpliwości, czy Twoja firma podlega nowym regulacjom, lub zastanawiasz się, jak najlepiej przygotować się do wdrożenia wymaganych środków bezpieczeństwa – skontaktuj się z nami https://konwerga.pl/kontakt/.

Nie czekaj na kontrolę i hackerów, zadbaj o bezpieczeństwo już dzisiaj!