NIS2: jakie organizacje w Europie są objęte dyrektywą i co muszą zrobić

Dyrektywa NIS2 (2022/2555) znacznie rozszerza zakres regulacji cyberbezpieczeństwa w UE. W Polsce NASK (CSIRT NASK) pełni rolę jednego z krajowych CSIRT-ów odpowiedzialnych za koordynację w zakresie NIS2.

18 sektorów objętych NIS2

Sektory wysoce krytyczne (Załącznik I) obejmują energię, transport, bankowość, infrastrukturę rynków finansowych, ochronę zdrowia, wodę pitną, ścieki, infrastrukturę cyfrową, dostawców usług ICT, administrację publiczną i przestrzeń kosmiczną. Sektory krytyczne (Załącznik II) obejmują usługi pocztowe, gospodarkę odpadami, chemię, żywność, produkcję przemysłową, dostawców cyfrowych i badania naukowe.

Kryteria wielkości

Podmioty zatrudniające co najmniej 50 osób lub osiągające obrót powyżej 10 milionów euro działające w objętym sektorze podlegają NIS2. Podmioty kluczowe to duże organizacje w sektorach wysoce krytycznych; podmioty ważne to średnie organizacje wszystkich objętych sektorów.

Pierwsze obowiązki

Zgodność opiera się na zarządzaniu cyberbezpieczeństwem, zarządzaniu ryzykiem, bezpieczeństwie łańcucha dostaw i zgłaszaniu incydentów do NASK — wstępne powiadomienie w ciągu 24 godzin, pełny raport w ciągu 72 godzin.

*Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.*