Dyrektywa NIS2 – rewolucja w obszarze cyberbezpieczeństwa.
16 stycznia 2023 roku, weszła w życie tzw. dyrektywa NIS2 dotycząca cyberbezpieczeństwa, to nowelizacja dyrektywy NIS, pierwszego europejskiego prawa w zakresie cyberbezpieczeństwa. W nowych przepisach znacznie rozszerzony został zakres podmiotów objętych przepisami oraz pojawiły się kary, w tym kary nakładane na zarządy firm. Szacuje się, że w Polsce kilka tysięcy firm zostanie objętych nowymi obowiązkami.
Dyrektywa NIS2 została przyjęta przez Parlament Europejski 10 listopada 2022 r. Dyrektywa uchyla dotychczas obowiązującą dyrektywę NIS i wprowadza nowe możliwości egzekwowania przepisów, nowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak: stosowanie kontroli doraźnych wobec podmiotów kluczowych, nakładanie administracyjnych kar pieniężnych na podmioty kluczowe i ważne oraz odpowiedzialność indywidualna. Dyrektywa NIS2 nakłada obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie na nowe podmioty.
Zamiast podziału na operatorów usług kluczowych i dostawców usług cyfrowych wprowadza podział na podmioty kluczowe i podmioty ważne. Pokrywa się on częściowo z dotychczasowym podziałem, jednak zostały w nim ujęte także całkowicie nowe podmioty, pozostające dotychczas poza zakresem regulacji. Kluczowi dostawcy usług cyfrowych, tacy jak wyszukiwarki, usługi przetwarzania w chmurze i internetowe platformy handlowe, będą musieli przestrzegać wymogów w zakresie bezpieczeństwa i powiadamiania na mocy dyrektywy.
Adresatami przepisów będą średnie przedsiębiorstwa zatrudniające 50 lub więcej pracowników, o rocznych przychodach w wysokości 10 mln euro albo rocznej sumie bilansowej do 43 milionów euro oraz duże przedsiębiorstwa zatrudniające 250 lub więcej pracowników, o rocznych przychodach w wysokości co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej. Nowe obowiązki nie będą zatem dotyczyć mikroprzedsiębiorstw ani przedsiębiorstw małych, z jednym ważnym wyjątkiem. Niektóre podmioty, takie jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną oraz administracja publiczna będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności.
NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie UE.
Od daty wejścia w życie Dyrektywy NIS2, czyli 16 stycznia 2023 r., Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. W Polsce oznacza to konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, co powinno nastąpić najpóźniej do 17 października 2024 roku. Nowe przepisy powinny być stosowane we wszystkich krajach UE od 18 października 2024 r.