Niedziałające stacje benzynowe. Paraliż zabiegów operacyjnych w szpitalach. Nieczynne bankomaty. Brzmi jak scenariusz z filmu o końcu świata? Niekoniecznie. Tak mógłby wyglądać dzień po skutecznym, wielowektorowym cyberataku wymierzonym w infrastrukturę krytyczną całego kraju.

Mając świadomość wciąż ewoluujących cyberzagrożeń (np. ransomware) oraz coraz częstszych przypadków ataków na sektory krytyczne – które realnie zagrażają państwom i całym społeczeństwom – władze unijne postanowiły systemowo wymóc wdrożenie (lepszej) cyberodporności na najistotniejszych i najbardziej narażonych podmiotach. Doprowadziło to do powstania tzw. dyrektywy NIS2.

Co to jest dyrektywa NIS2?

NIS2 (czyli Network and Information Systems Directive 2) to dyrektywa* Parlamentu Europejskiego i Rady UE mająca na celu wzmocnienie cyberodporności i osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa organizacji z sektorów krytycznych gospodarki unijnej.

Warto dodać, że nie są to jedyne cele tego dokumentu. Innym, nie mniej ważnym jest ujednolicenie standardów bezpieczeństwa, co w powyższej definicji ‘nieśmiało’ wyraża przymiotnik “wspólnego”. A to dlatego, że poprzednia dyrektywa, czyli NIS1 z 2016 roku, dawała państwom członkowskim Unii Europejskiej wiele swobody w tym względzie. W rezultacie poziom zabezpieczeń mógł się drastycznie różnić między podmiotami kluczowymi, co z kolei z łatwością mogli wykorzystywać cyberprzestępcy.

* Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) – pełny tekst aktu prawnego dostępny pod tym linkiem.

Od kiedy NIS2 obowiązuje w Polsce?

Dyrektywa została przyjęta przez Parlament Europejski i Radę UE 14 grudnia 2022, a weszła w życie 16 stycznia 2023. Państwa członkowskie zostały zobowiązane do implementacji dyrektywy na grunt prawa krajowego do 17 października 2024.

Polska nie dotrzymała tego terminu i na dzień dzisiejszy wciąż trwają prace nad aktem prawnym transponującym przepisy NIS2, czyli nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). 7 listopada 2025 r. projekt wpłynął do Sejmu RP, więc zgrubne szacunki przewidują, że dyrektywa NIS2 zacznie obowiązywać w Polsce w 1. połowie 2026 roku. Zainteresowani mogą śledzić stan prac na stronach Sejmu Rzeczypospolitej Polskiej.

Niezależnie od tego, warto już teraz zadbać o zapewnienie zgodności z NIS2, ponieważ jest to zadanie wymagające kompleksowych i złożonych działań. Ale o tym później.

Kogo dotyczy NIS2, a do kogo nie stosuje się wymagań dyrektywy?

Zanim rzucisz się w wir wdrożenia, sprawdź, czy NIS2 ma zastosowanie w przypadku Twojej organizacji, analizując poniższe kryteria.

Kryterium przynależności do sektora kluczowego i ważnego

NIS2 stworzono z myślą o ochronie strategicznych sektorów gospodarki, dlatego dyrektywa ma zastosowanie do organizacji, które należą do tzw. sektorów kluczowych (najważniejsze) i ważnych:

  • Sektory kluczowe:
    • energetyka – energia elektryczna, instalacje ciepłownicze i chłodnicze, gaz, ropa naftowa, wodór
    • transport – lotnictwo, kolej, transport wodny, transport drogowy
    • bankowość*
    • finanse* – operatorzy systemów obrotu i kontrahenci centralni (CCP)
    • ochrona zdrowia – szpitale, laboratoria, producenci leków, producenci krytycznych wyrobów medycznych
    • zaopatrzenie w wodę
    • odprowadzanie ścieków
    • infrastruktura cyfrowa – dostawcy usług internetowych, w tym DNS, rejestry domen, dostawcy chmury, ośrodki przetwarzania danych, sieci CDN, usługi zaufania, sieci łączności elektronicznej
    • zarządzanie usługami informatycznymi i telekomunikacyjnymi (ICT) – dostawcy usług zarządzanych, w tym w zakresie bezpieczeństwa
    • podmioty publiczne / administracja publiczna
    • przemysł kosmiczny – podmioty wspierające świadczenie usług kosmicznych
  • Sektory ważne:
    • usługi pocztowe i kurierskie
    • gospodarowanie odpadami
    • produkcja, wytwarzanie i dystrybucja chemikaliów
    • produkcja, przetwarzanie i dystrybucja żywności
    • produkcja – wyroby medyczne, komputery, elektronika, urządzenia optyczne, urządzenia elektryczne, maszyny i urządzenia, samochody, przyczepy, pozostały sprzęt transportowy
    • dostawcy usług cyfrowych – platformy handlowe, dostawcy wyszukiwarek, platformy społecznościowe
    • badania naukowe – organizacje badawcze

* W tych sektorach obowiązują dodatkowe wymogi, takie jak DORA (Digital Operational Resilience Act) czy wymogi od KNF. Dowiedz się więcej

Kryterium wielkości podmiotu i pozostałe kryteria

OK, skoro wiesz już, jakie sektory są objęte NIS2, sprawdźmy pozostałe kryteria, których spełnienie ostatecznie kwalifikuje Twoją organizację jako podlegającą przepisom tej dyrektywy. Pomoże nam w tym poniższa tabela:

Typ podmiotuKryteria wielkościPozostałe kryteriaCzy podlega NIS2?
Duży≥ 250 pracowników lub ≥ 50 mln EUR obrotu rocznie✅ Tak, jeśli działa w sektorze kluczowym lub ważnym.
Średni≥ 50 pracowników lub ≥ 10 mln EUR obrotu rocznie✅ Tak, jeśli działa w sektorze kluczowym lub ważnym.
Mały/mikro< 50 pracowników oraz< 10 mln EUR obrotu rocznieŚwiadczy usługi o znaczeniu krytycznym.Jest jedynym dostawcą w kraju.Ma znaczenie dla bezpieczeństwa publicznego.Należy do łańcucha dostaw podmiotu kluczowego/ważnego.Decyzją właściwego organu krajowego (w Polsce: Ministerstwo Cyfryzacji) został uznany za podmiot kluczowy albo podmiot ważny.⚠️ Tak, jeżeli działa w sektorze kluczowym lub ważnym oraz spełnia co najmniej jeden z pozostałych kryteriów.

Jak zatem widać, spełnienie kryterium a) przynależności do jednego z sektorów kluczowych oraz b) kryteriów wielkości automatycznie sprawia, że dana organizacja będzie objęta NIS2. W takim wypadku organizacja jest uznawana za podmiot kluczowy (gdy działa w jednym z sektorów kluczowych) albo podmiot ważny (gdy działa w sektorze ważnym).

W przypadku małych i mikroprzedsiębiorstw, które nie spełniają kryteriów wielkościowych, ale działają w sektorze kluczowym, podleganie pod NIS2 jest uzależnione od spełniania dodatkowych kryteriów i decyzji właściwego organu krajowego.

Jakie sankcje/kary obowiązują w przypadku nieprzestrzegania NIS2?

Zgodnie z doktryną Unii Europejskiej, sankcje mają być “proporcjonalne, odstraszające i skuteczne”. I rzeczywiście, patrząc na proponowane kary finansowe, takie są. Warto dodać, że na ostateczną kwotę kary finansowej mają wpływ takie czynniki, jak rodzaj podmiotu i skala naruszenia:

  • Podmiot kluczowy: do 10 mln EUR lub 2% rocznego światowego obrotu — w zależności od tego, która wartość jest wyższa
  • Podmiot ważny: do 7 mln EUR lub 1,4% rocznego światowego obrotu — w zależności od tego, która wartość jest wyższa

Oprócz kar finansowych, przewidziano również dotkliwe kary administracyjne, a nawet z zakresu odpowiedzialności osobistej:

  • Cofnięcie zezwoleń/certyfikacji
  • Zakaz pełnienia funkcji zarządczych (w przypadku członków kadry zarządzającej odpowiedzialnych za naruszenia)
  • Kara do 300% miesięcznego wynagrodzenia (w przypadku menedżerów), przy czym dotyczy to sytuacji, gdy zaniedbania bezpośrednio wpływają na bezpieczeństwo publiczne lub zdrowie.

Oczywiście na ukaranej organizacji spoczywa obowiązek wdrożenia działań naprawczych.

Jakby tego było mało, państwa członkowskie mogą ‘na własną rękę’ wprowadzić dodatkowe sankcje. Przykładowo, w Polsce w planach są takie środki, jak grzywna do 100 mln PLN oraz możliwość tymczasowego zawieszenia działalności.

Jakie wymagania nakłada NIS2 i jak je spełnić?

Jak widać, konsekwencje mogą być naprawdę ciężkie, nie wspominając o stratach niematerialnych, takich jak nadszarpnięcie reputacji czy zaufania klientów. Zatem najwyższa pora sprawdzić, jakie obowiązki spoczywają na organizacjach objętych NIS2. Pozwoli to przejść do fazy opracowania planu wdrożenia i konkretnych środków.

Dyrektywa nie precyzuje owych środków z uwagi na diametralnie różne specyfiki działalności i poziomy ryzyka w poszczególnych sektorach. Zamiast tego w Artykule 21 wymienia obszary, w których należy to zrobić, jednocześnie wskazując, że wdrażane środki techniczne, organizacyjne i operacyjne muszą być odpowiednie i proporcjonalne.

Aby te zalecenia nabrały bardziej konkretnej formy, poniżej przygotowaliśmy tabelę z wykazem ww. obszarów wraz z przykładami konkretnych środków/działań, które można wdrożyć w tychże obszarach.

Obszar zdefiniowany w Art. 21 dyrektywy NIS2Środki/działania na etapie wdrożeniaŚrodki/działania na etapie po wdrożeniu
Polityka analizy ryzyka i bezpieczeństwa systemów informatycznych– Opracowanie polityki analizy ryzyka.
– Opracowanie polityki bezpieczeństwa systemów informatycznych.
– Wskazanie osoby kontaktowej ds. cyberbezpieczeństwa.		– Przeprowadzanie regularnych analiz ryzyka.
– Przesyłanie sprawozdań okresowych (na żądanie organu nadzorczego).
Obsługa incydentu– Udokumentowanie i wdrożenie procesu zarządzania incydentami bezpieczeństwa komputerowego.
– Wyznaczenie osób odpowiedzialnych za obsługę incydentów.
– Opracowanie procedury opisującej zgłaszanie incydentu do CSIRT (Computer Security Incident Response Team), np. przy NASK.
– Wdrożenie narzędzi automatyzujących reagowanie na incydenty, np. SOAR (Security Orchestration, Automation and Response).		– Monitoring i wykrywanie incydentów bezpieczeństwa komputerowego, np. za pomocą narzędzi SIEM (Security Information and Event Management).
– Przesłanie wczesnego ostrzeżenia (do 24 h od powzięcia wiedzy o poważnym incydencie).
– Przesłanie zgłoszenia incydentu (do 72 h od powzięcia wiedzy o poważnym incydencie).
– Przesłanie sprawozdania końcowego (do miesiąca od przesłania zgłoszenia incydentu).
– Wykonanie analizy poincydentalnej (post-mortem analysis), aby zrozumieć, co się stało.
Ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe.– Opracowanie planu ciągłości działania zawierającego procedury awaryjne, przywracania i minimalizowania zakłóceń.
– Wdrożenie oprogramowania albo kompleksowego rozwiązania do tworzenia i przywracania kopii zapasowych, np. Xopero Unified Protection albo Xopero One Backup&Recovery.
– Utworzenie zespołu kryzysowego oraz procedur komunikacji w sytuacji kryzysowej.		– Regularne wykonywanie kopii zapasowych danych organizacji.
– Bezpieczne przechowywanie kopii, poza infrastrukturą organizacji, np. w modelu 3-2-1.
– Testowanie przywracania danych z kopii zapasowej.
– W razie wystąpienia incydentu, dokonanie oceny jego potencjalnego wpływu w ujęciu finansowym i operacyjnym.
Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.– Przeprowadzenie analizy ryzyka dostawców/usługodawców w celu zabezpieczenia łańcuchów dostaw.
– Wdrożenie procedur pozwalających na identyfikację i zarządzanie ryzykiem w całym łańcuchu dostaw.
– Zawarcie umów jasno precyzujących wymagania w zakresie cyberbezpieczeństwa.		– Monitorowanie przestrzegania przez dostawców/usługodawców wymagań w zakresie cyberbezpieczeństwa.
– Współpraca i komunikacja z dostawcami/usługodawcami przy podejmowaniu skoordynowanych działań w razie wystąpienia incydentu. 
Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie.– Weryfikacja dostawców pod kątem stosowanych zabezpieczeń, posiadanych certyfikatów itd.
– Wdrożenie rozwiązań XDR (Extended Detection and Response) oraz MDM (Mobile Device Management) chroniących urządzenia końcowe i urządzenia mobilne.		– Monitoring i wykrywanie incydentów, np. za pomocą narzędzi SIEM (Security Information and Event Management).
– Zarządzanie podatnościami poprzez ich monitorowanie, identyfikowanie i usuwanie.
– Przeprowadzanie regularnych audytów bezpieczeństwa i przeglądów konfiguracji, nie rzadziej niż raz na 24 miesiące.
– Bezpieczny rozwój własnych produktów (reguła „secure by design”) – dotyczy m.in. firm programistycznych.
Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie.– Przeprowadzenie analizy ryzyk związanej z prowadzoną działalnością w celu ich identyfikacji i mitygacji.
– Opracowanie wskaźników skuteczności (KPI) do oceny wdrożonych środków bezpieczeństwa		– Przeprowadzanie regularnych audytów oceniających zgodność z politykami.
– Przeprowadzanie testów penetracyjnych sprawdzających szczelność infrastruktury cyfrowej. 
Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa.– Przeprowadzenie wstępnego szkolenia dla pracowników dotyczącego cyberbezpieczeństwa (np. identyfikacji zagrożeń typu phishing, zarządzanie hasłami, ochrona danych na urządzeniach).
– Przeprowadzenie szkolenia dla kadry zarządzającej z obowiązków nałożonych dyrektywą NIS2.
– Przeprowadzenie testów wiedzy.		– Przeprowadzanie regularnych szkoleń “przypominających”.
– Przeprowadzanie symulowanych ataków phishingowych w celu identyfikacji osób potrzebujących dodatkowego przeszkolenia.
– Podnoszenie świadomości poprzez newslettery, plakaty, kampanie promujące podstawowe zasady cyberhigieny itp. 
Polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania.– Opracowanie polityki kryptografii (kiedy i jak szyfrować dane).
– Wdrożenie sprawdzonych i certyfikowanych narzędzi kryptograficznych.
– Opracowanie systemów zarządzania certyfikatami SSL/TLS, aby nie dopuścić do ich wygaśnięcia i nie “otworzyć” komunikacji na atak.		– Szyfrowanie danych przesyłanych w ruchu (in transit), np. w sieciach, i w spoczynku (at rest), np. szyfrowanie dysków twardych, kopii zapasowych.
– Odnawianie certyfikatów szyfrujących.
Bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami.– Opracowanie procedur bezpieczeństwa na etapach zatrudniania i zwalniania pracownika.
– Opracowanie procedury dostępu do biur organizacji.
– Wdrożenie rozwiązania do zarządzania tożsamością i dostępem (IAM).
– Utworzenie ewidencji aktywów informatycznych (np. komputery, urządzenia mobilne).		– Przeprowadzanie weryfikacji kandydatów i terminowe odbieranie uprawnień po zwolnieniu.
– Stosowanie zasady “najmniejszych wymaganych uprawnień”.
– Centralne zarządzanie tożsamością i dostępem przez IAM.
– Regularna aktualizacja ewidencji aktywów.
– Bezpieczne wycofywanie systemów z eksploatacji.
(W stosownych przypadkach) Stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.– Wdrożenie i przeszkolenie użytkowników w zakresie uwierzytelniania wieloskładnikowego (MFA).
– Wdrożenie rozwiązań z zakresu ciągłego uwierzytelniania (monitorujących zachowania użytkownika i monitujących o uwierzytelnienie w przypadku wystąpienia podejrzeń).
– Przygotowanie specjalnych kanałów komunikacji na wypadek wystąpienia sytuacji nadzwyczajnej.		– Monitorowanie, czy każdy użytkownik korzysta z MFA i zachowań użytkowników.
– Wdrożenie przygotowanych specjalnych kanałów komunikacji w razie wystąpienia sytuacji nadzwyczajnej.

Liczba możliwych środków/działań może przytłoczyć. Jednak ostatecznie zakres wdrożenia będzie zależał od charakteru i złożoności organizacji oraz danych i aktywów, które trzeba w jej obrębie chronić.

Aby ułatwić koordynację tych zadań, przygotowaliśmy przykładową listę kontrolną, którą możesz wydrukować, dostosować do własnych potrzeb i wykorzystywać do nadzorowania prac nad gotowością do NIS2.

Pobierz checklistę NIS2

Spełnienie wymogów dyrektywy NIS2 a norma ISO 27001

Jeśli bezpieczeństwo informacji było od zawsze bliskie wartościom Twojej organizacji, być może już wdrożyliście normę ISO 27001, która definiuje wymagania dla tzw. Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Regulując takie obszary, jak zarządzanie ryzykiem, polityki bezpieczeństwa i środki kontroli, procedury reagowania na incydenty, dokumentacja i obowiązki z zakresu raportowania oraz ciągłe doskonalenie i szkolenie, norma zapewnia znaczące wsparcie i pomoc przy zapewnieniu zgodności z dyrektywą NIS2 i oszczędza dużo pracy, jeśli chodzi o wdrożenie poszczególnych środków czy działań.

Warto o tym pamiętać, aby maksymalnie wykorzystać te zasoby, które już są do naszej dyspozycji. 

NIS2 jako szansa na lepszą cyberodporność

Kary, wymagania… to wszystko może przytłaczać i nastawiać negatywnie. Warto jednak spojrzeć na dyrektywę NIS2 nie jak na przykry obowiązek, ale szansę na wzmocnienie cyberodporności organizacji. W dłuższej perspektywie czasu może się okazać, że oszczędzi Ci to wielu nieprzyjemności, stresu i… dodatkowej pracy w związku z doświadczaniem i eliminacją następstw cyberataków.

Jednocześnie warto pamiętać, że nie musisz robić wszystkiego samodzielnie. Wiele środków wymaganych w ramach NIS2, zwłaszcza tych na etapie powdrożeniowym, można zrealizować, bazując na rozwiązaniach sprawdzonych dostawców.

Xopero – jako ekspert w dziedzinie backupu danych – może pomóc Ci spełnić wymogi w obszarze ciągłości działania (tworzenie, testowanie i przywracanie kopii danych, raportowanie/audyt w tym zakresie). Przykładowo, wybierając Xopero Unified Protection (skalowalna platforma sprzętowo-programowa klasy enterprise do backupu danych i disaster recovery), w pakiecie otrzymujesz szereg dodatkowych, istotnych korzyści, takich jak ochrona przed ogromnymi stratami finansowymi i utratą zaufania/wizerunku czy – z punktu widzenia administratora – błyskawiczna konfiguracja plug&play. Nie wspominając o zaawansowanych i innowacyjnych funkcjach, o których dowiesz się więcej, odwiedzając witrynę poświęconą naszemu urządzeniu do backupu danych.

Sprawdź naszą ofertę i zobacz, jak możemy Cię wesprzeć zarówno w kontekście NIS2, jak i ogólnie rozumianego bezpieczeństwa danych Twojej organizacji. 

How did you like the article?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0

You may also like

Comments are closed.