socha.pl / wiedza / dyrektywy ue / nis 2 /

Czym jest NIS 2

Dyrektywa NIS2 (ang. Directive (EU) 2022/2555), która zastępuje poprzednią dyrektywę NIS (Directive (EU) 2016/1148), znacząco rozszerza zakres podmiotów zobowiązanych do stosowania określonych standardów cyberbezpieczeństwa. Nakłada też większe wymagania organizacyjne oraz surowsze konsekwencje za ich niespełnienie. Poniżej przedstawiamy obowiązkowy zakres obowiązków, które każda firma objęta zakresem NIS2 musi wypełnić.

1. System Zarządzania Ryzykiem
(Risk Management)

Identyfikacja i ocena ryzyka

  • Regularne przeprowadzanie analiz ryzyka z uwzględnieniem zarówno własnej infrastruktury IT, jak i łańcucha dostaw (dostawców oprogramowania, usług chmurowych, podwykonawców itp.).
  • Dokumentowanie najważniejszych podatności i zagrożeń w celu priorytetyzacji działań.

Środki techniczne i organizacyjne

  • Wdrożenie proporcjonalnych do skali firmy i jej sektora środków bezpieczeństwa (np. segmentacja sieci, szyfrowanie danych, systemy EDR/XDR, zarządzanie dostępami).
  • Regularne aktualizacje i łatanie oprogramowania (patch management), uwzględnienie zasad „secure by design”.

Zarządzanie łańcuchem dostaw

  • Wymaganie od podwykonawców odpowiednich standardów bezpieczeństwa, w tym weryfikacja umów i polityk dot. cyberbezpieczeństwa.
  • Ocena ryzyka związanego z kontrahentami (np. integracja usług, wymiana danych).

2. Procedury i Organizacja Incydentów
(Incident Response)

Detekcja i rejestrowanie zdarzeń

  • Zapewnienie mechanizmów monitorowania i rejestrowania zdarzeń w systemach IT.
  • Wykorzystywanie narzędzi do analizy logów i wykrywania anomalii.

Zgłaszanie incydentów

  • NIS2 wprowadza zaostrzone terminy i formę raportowania incydentów do właściwych organów (np. CSIRT, organ regulacyjny).
  • Zwykle obowiązuje wstępne zgłoszenie (tzw. „early warning”) w ciągu 24 godzin od wykrycia incydentu oraz szczegółowy raport w ciągu 72 godzin (lub zgodnie z wytycznymi organu krajowego).

Reagowanie i usuwanie skutków

  • Obowiązek posiadania planów reagowania na incydenty (IRP – Incident Response Plan), procedur komunikacji wewnętrznej i zewnętrznej (np. z klientami, mediami, regulatorami).
  • Uruchamianie planów ciągłości działania (BCP – Business Continuity Plan) i planów odtwarzania po awarii (DRP – Disaster Recovery Plan) w celu zminimalizowania strat.

3. Zarządzanie Ciągłością Działania i Kryzysami
(Business Continuity & Crisis Management)

Plany awaryjne i testy

  • Regularne testy planów awaryjnych (BCP/DRP), w tym ćwiczenia typu tabletop, testy przełączania na system zapasowy itp.
  • Weryfikacja odporności na ataki ransomware czy utratę dostępności usług krytycznych.

Mechanizmy redundancji

  • Dla usług uznanych za kluczowe lub istotne – zastosowanie redundancji geograficznej, kopii zapasowych offline i innych rozwiązań minimalizujących skutki ataku bądź awarii.

4. Odpowiedzialność Zarządu i Zasoby
(Governance)

Rola najwyższego kierownictwa 

  • Zarząd lub najwyższa kadra menedżerska ponosi bezpośrednią odpowiedzialność za zgodność z NIS2.
  • Obowiązek zapewnienia odpowiedniego budżetu i kadr do realizacji wymogów cyberbezpieczeństwa.

Polityki i procedury

  • Definiowanie formalnych polityk bezpieczeństwa i procedur postępowania z danymi (np. polityka haseł, polityka BYOD, polityka retencji danych).
  • Jasny podział obowiązków i ról (np. CISO, DPO, Security Officer).

Szkolenia i świadomość

  • Obowiązkowe szkolenia pracowników w zakresie cyberbezpieczeństwa, w tym rozpoznawanie phishingu, bezpieczne korzystanie z zasobów IT, reagowanie na incydenty.
  • Budowanie kultury bezpieczeństwa w organizacji.

5. Współpraca z Organami i Inne Obowiązki

Współpraca z narodowym CSIRT

  • W razie incydentów istotnych lub poważnych – obowiązek współpracy z krajowymi zespołami reagowania na incydenty (CSIRT) i innymi organami.
  • Przekazywanie informacji niezbędnych do analiz (logi, próbki złośliwego oprogramowania).

Współdzielenie informacji o zagrożeniach

  • Dyrektywa zachęca do dzielenia się wiedzą o zagrożeniach (threat intelligence) w ramach sektorowych centrów wymiany informacji (ISAC) i z innymi przedsiębiorstwami działającymi w tym samym obszarze.

Audyt i sprawozdawczość

  • Możliwość kontroli zgodności (audytów) przez organ nadzorczy.
  • Obowiązek dostarczania raportów okresowych lub na żądanie (np. informacje o wdrożonych środkach bezpieczeństwa).

Podsumowanie NIS 2

Minimalny obowiązkowy zakres wymogów NIS2 obejmuje wdrożenie systematycznego zarządzania ryzykiem, incydentami oraz ciągłością działania, a także zapewnienie odpowiedniej struktury organizacyjnej i procedur (w tym szkoleń, polityk, zasobów). Kluczową zmianą jest większa odpowiedzialność zarządów i surowsze sankcje za brak zgodności.

Dla firm objętych dyrektywą NIS2 oznacza to konieczność:

  1. Zdefiniowania i wdrożenia spójnego systemu cyberbezpieczeństwa,
  2. Wzmocnienia nadzoru i raportowania (top management accountability),
  3. Współpracy z organami państwowymi i sektorem,
  4. Rozbudowy infrastruktury monitorowania i reagowania na incydenty (SIEM, SOC, EDR/XDR).