Dyrektywa NIS2 – rewolucja w obszarze cyberbezpieczeństwa.
16 stycznia 2023 roku, weszÅ‚a w życie tzw. dyrektywa NIS2 dotyczÄ…ca cyberbezpieczeÅ„stwa, to nowelizacja dyrektywy NIS, pierwszego europejskiego prawa w zakresie cyberbezpieczeÅ„stwa. W nowych przepisach znacznie rozszerzony zostaÅ‚ zakres podmiotów objÄ™tych przepisami oraz pojawiÅ‚y siÄ™ kary, w tym kary nakÅ‚adane na zarzÄ…dy firm. Szacuje siÄ™, że w Polsce kilka tysiÄ™cy firm zostanie objÄ™tych nowymi obowiÄ…zkami.
Dyrektywa NIS2 zostaÅ‚a przyjÄ™ta przez Parlament Europejski 10 listopada 2022 r. Dyrektywa uchyla dotychczas obowiÄ…zujÄ…cÄ… dyrektywÄ™ NIS i wprowadza nowe możliwoÅ›ci egzekwowania przepisów, nowe Å›rodki kontrolne i nadzorcze dla wÅ‚aÅ›ciwego organu krajowego, takie jak: stosowanie kontroli doraźnych wobec podmiotów kluczowych, nakÅ‚adanie administracyjnych kar pieniężnych na podmioty kluczowe i ważne oraz odpowiedzialność indywidualna. Dyrektywa NIS2 nakÅ‚ada obowiÄ…zek zapewnienia zgodnoÅ›ci z przepisami o cyberbezpieczeÅ„stwie na nowe podmioty.
Zamiast podziaÅ‚u na operatorów usÅ‚ug kluczowych i dostawców usÅ‚ug cyfrowych wprowadza podziaÅ‚ na podmioty kluczowe i podmioty ważne. Pokrywa siÄ™ on częściowo z dotychczasowym podziaÅ‚em, jednak zostaÅ‚y w nim ujÄ™te także caÅ‚kowicie nowe podmioty, pozostajÄ…ce dotychczas poza zakresem regulacji. Kluczowi dostawcy usÅ‚ug cyfrowych, tacy jak wyszukiwarki, usÅ‚ugi przetwarzania w chmurze i internetowe platformy handlowe, bÄ™dÄ… musieli przestrzegać wymogów w zakresie bezpieczeÅ„stwa i powiadamiania na mocy dyrektywy.
Adresatami przepisów bÄ™dÄ… Å›rednie przedsiÄ™biorstwa zatrudniajÄ…ce 50 lub wiÄ™cej pracowników, o rocznych przychodach w wysokoÅ›ci 10 mln euro albo rocznej sumie bilansowej do 43 milionów euro oraz duże przedsiÄ™biorstwa zatrudniajÄ…ce 250 lub wiÄ™cej pracowników, o rocznych przychodach w wysokoÅ›ci co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej. Nowe obowiÄ…zki nie bÄ™dÄ… zatem dotyczyć mikroprzedsiÄ™biorstw ani przedsiÄ™biorstw maÅ‚ych, z jednym ważnym wyjÄ…tkiem. Niektóre podmioty, takie jak dostawcy usÅ‚ug Å‚Ä…cznoÅ›ci elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzÄ…ce dziaÅ‚alność transgranicznÄ… oraz administracja publiczna bÄ™dÄ… podlegaÅ‚y dyrektywie NIS2 niezależnie od skali swej dziaÅ‚alnoÅ›ci.
NIS 2 dla usprawnienia wspóÅ‚pracy miÄ™dzynarodowej ustanawia EuropejskÄ… Sieć ZarzÄ…dzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), która bÄ™dzie m.in. wspieraÅ‚a koordynacjÄ™ zarzÄ…dzania incydentami na dużą skalÄ™ na poziomie UE.
Od daty wejÅ›cia w życie Dyrektywy NIS2, czyli 16 stycznia 2023 r., PaÅ„stwa CzÅ‚onkowskie UE majÄ… 21 miesiÄ™cy na wprowadzenie postanowieÅ„ Dyrektywy do prawa krajowego. W Polsce oznacza to konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeÅ„stwa, co powinno nastÄ…pić najpóźniej do 17 października 2024 roku. Nowe przepisy powinny być stosowane we wszystkich krajach UE od 18 października 2024 r.