Kompletny Przewodnik NIS2 2025

Pierwotna dyrektywa NIS (Bezpieczeństwo Sieci i Informacji) z 2016 roku stanowiła pierwszą wiążącą legislację UE w dziedzinie cyberbezpieczeństwa. Zobowiązywała państwa członkowskie do wyznaczenia właściwych organów i ustanowienia minimalnych wymogów bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych. Chociaż stworzyła fundament wspólnego podejścia, nierównomierna implementacja w poszczególnych krajach ujawniła istotne luki w harmonizacji.

W obliczu szybko rosnących zagrożeń cybernetycznych i utrzymującej się fragmentacji między państwami członkowskimi Komisja Europejska opublikowała dyrektywę NIS2 (2022/2555) 27 grudnia 2022 roku. Ten akt prawny gruntownie przebudowuje poprzednie ramy: znacznie rozszerza zakres objętych podmiotów, wzmacnia obowiązki w zakresie bezpieczeństwa, zaostrza sankcje i wymaga wzmocnionej współpracy między organami krajowymi. Dyrektywa weszła w życie 17 października 2024 roku — termin, do którego państwa członkowskie były zobowiązane transponować jej przepisy do prawa krajowego.

W Polsce wdrożenie NIS2 nadzoruje CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego NASK) jako właściwy organ krajowy, we współpracy z Ministerstwem Cyfryzacji. Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) w nowelizacji implementującej NIS2 stanowi krajowe ramy prawne. Zaleca się, aby firmy już teraz oceniły swój poziom cyberbezpieczeństwa i podjęły niezbędne działania w celu osiągnięcia zgodności.

NIS2 rozróżnia dwie kategorie podmiotów zobowiązanych: podmioty kluczowe (PK) i podmioty ważne (PW). Podmioty kluczowe to duże organizacje (ponad 250 pracowników lub ponad 50 mln euro rocznego obrotu) działające w sektorach wysoce krytycznych z Załącznika I. Podmioty ważne obejmują średnie organizacje (ponad 50 pracowników lub ponad 10 mln euro obrotu) w sektorach z Załącznika I lub II. To rozróżnienie determinuje poziom nadzoru sprawowanego przez CSIRT NASK oraz wysokość stosowanych sankcji.

Dyrektywa obejmuje 18 sektorów podzielonych na dwa załączniki. Załącznik I (sektory wysoce krytyczne) zawiera: energetykę, transport, bankowość, infrastruktury rynków finansowych, ochronę zdrowia, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, administrację publiczną i przestrzeń kosmiczną. Załącznik II dodaje: usługi pocztowe i kurierskie, gospodarkę odpadami, wytwarzanie i dystrybucję chemikaliów, produkcję i dystrybucję żywności, wytwarzanie urządzeń medycznych i elektroniki, dostawców usług cyfrowych oraz badania naukowe.

Nawet jeśli Twoja firma nie należy bezpośrednio do objętego sektora, może być dotknięta, jeśli dostarcza usługi lub produkty do podmiotu kluczowego lub ważnego. NIS2 zobowiązuje bowiem podmioty objęte zakresem do zapewnienia, że ich krytyczni dostawcy również utrzymują odpowiedni poziom bezpieczeństwa — w praktyce poprzez klauzule umowne, kwestionariusze bezpieczeństwa i audyty.

Artykuł 21 dyrektywy NIS2 określa środki techniczne, operacyjne i organizacyjne, które podmioty objęte zakresem muszą wdrożyć. Środki te muszą być proporcjonalne do poziomu ryzyka, wielkości podmiotu i potencjalnych konsekwencji incydentów. Zdefiniowano osiem podstawowych obowiązków.

Po pierwsze, zarządzanie i odpowiedzialność kierownictwa: organy zarządzające muszą zatwierdzać środki cyberbezpieczeństwa i ponosić osobistą odpowiedzialność za poważne naruszenia. Po drugie, zarządzanie ryzykiem: regularne oceny ryzyka, identyfikacja krytycznych aktywów i udokumentowana polityka bezpieczeństwa. Po trzecie, bezpieczeństwo łańcucha dostaw: ocena i nadzór nad krytycznymi dostawcami poprzez klauzule umowne, kwestionariusze i audyty.

Po czwarte, zarządzanie incydentami i zgłaszanie w ciągu 72 godzin: wczesne ostrzeżenie do CSIRT NASK w ciągu 24 godzin od wykrycia istotnego incydentu, pełne zgłoszenie w ciągu 72 godzin i raport końcowy w ciągu miesiąca. Po piąte, ciągłość działania: sformalizowane i regularnie testowane plany ciągłości działania (BCP) i plany odtwarzania po awarii (DRP). Po szóste, bezpieczeństwo zasobów ludzkich: weryfikacja przeszłości dla wrażliwych stanowisk, szkolenia z cyberbezpieczeństwa i natychmiastowe cofnięcie dostępu przy odejściu pracownika. Po siódme, kryptografia: szyfrowanie wrażliwych danych w tranzycie i w spoczynku, udokumentowane zarządzanie kluczami i certyfikatami. Po ósme, kontrola dostępu: uwierzytelnianie wieloskładnikowe (MFA) obowiązkowe dla systemów krytycznych i polityka IAM oparta na zasadzie minimalnych uprawnień.

NIS2 ustanawia znacznie surowszy reżim sankcji niż jego poprzednik. Grzywny obliczane są na podstawie wyższej kwoty spośród stałego pułapu i procentu globalnego rocznego obrotu, aby zapewnić efekt odstraszający niezależnie od wielkości podmiotu. Dla podmiotów kluczowych maksymalna grzywna wynosi 10.000.000 € lub 2% globalnego rocznego obrotu. Dla podmiotów ważnych jest to 7.000.000 € lub 1,4% globalnego rocznego obrotu.

Istotną nowością w porównaniu z NIS1 jest osobista odpowiedzialność kadry kierowniczej wyższego szczebla w przypadku poważnego naruszenia obowiązków z zakresu cyberbezpieczeństwa. Państwa członkowskie mogą nakładać indywidualne sankcje na osoby fizyczne pełniące funkcje kierownicze w podmiotach kluczowych, łącznie z tymczasowym zakazem pełnienia funkcji zarządczych. Przepis ten ma na celu zapewnienie, że organy zarządzające przejmą bezpośrednią odpowiedzialność za politykę cyberbezpieczeństwa.

CSIRT NASK i właściwe organy sektorowe dysponują szerokim zakresem uprawnień egzekucyjnych: audyty bezpieczeństwa na miejscu i zdalnie, żądania informacji, nakazy zgodności z terminami oraz publikacja naruszeń (name and shame). W przypadku podmiotów kluczowych audyty mogą być inicjowane proaktywnie bez wcześniejszego zaistnienia incydentu.

Osiągnięcie zgodności z NIS2 to wielomiesięczny projekt organizacyjny. Poniższy plan pięciu kroków oparty jest na wytycznych CSIRT NASK i rekomendacjach ENISA.

Krok 1 (miesiące 1-2) — Inwentaryzacja aktywów: zidentyfikuj i skataloguj wszystkie zasoby cyfrowe (serwery, aplikacje, urządzenia sieciowe, stacje robocze, dostęp do chmury) i sklasyfikuj je według krytyczności dla biznesu. Krok 2 (miesiące 2-3) — Ocena ryzyka: przeprowadź analizę ryzyka identyfikując zagrożenia, podatności i potencjalne skutki dla każdego krytycznego aktywa; metodologia OCTAVE lub norma ISO 27005 są odpowiednie do tego zadania. Krok 3 (miesiące 3-6) — Wdrożenie środków: zaimplementuj priorytetowe środki techniczne i organizacyjne (MFA, szyfrowanie, segmentacja sieci, zarządzanie łatkami, kopie zapasowe, wykrywanie incydentów) i udokumentuj każdy wdrożony środek.

Krok 4 (miesiące 6-9) — Szkolenia personelu: podnoś świadomość wszystkich pracowników na temat zagrożeń cybernetycznych i dobrych praktyk; szkol zespoły IT w zakresie nowych procedur wykrywania i zgłaszania incydentów; angażuj kierownictwo wyższego szczebla w szkolenia dotyczące zarządzania i odpowiedzialności wynikającej z NIS2. Krok 5 (ciągły) — Audyt i ciągłe doskonalenie: planuj regularne audyty wewnętrzne i zewnętrzne, aktualizuj analizę ryzyka co najmniej raz w roku, testuj plan ciągłości działania poprzez ćwiczenia kryzysowe i utrzymuj aktualną dokumentację wszystkich działań związanych ze zgodnością.

Kilka oficjalnych źródeł pomoże Ci lepiej zrozumieć NIS2 i rozpocząć proces osiągania zgodności.

Pełny tekst dyrektywy (UE) 2022/2555 jest dostępny na EUR-Lex, Dzienniku Urzędowym Unii Europejskiej. CSIRT NASK (cert.pl) publikuje praktyczne poradniki, narzędzia do samoceny i aktualne informacje o polskiej implementacji NIS2 poprzez nowelizację ustawy o KSC. Ministerstwo Cyfryzacji udostępnia informacje o krajowych regulacjach i harmonogramie wdrożenia NIS2 w Polsce.

Dla podmiotów poszukujących wsparcia przy zgodności, Polskie Centrum Akredytacji certyfikuje jednostki audytowe, które mogą przeprowadzać niezależne oceny zgodności z NIS2. Norma ISO/IEC 27001 jest powszechnie uznawana przez polskie organy nadzorcze jako dowód wdrożenia odpowiednich środków bezpieczeństwa. ENISA oferuje uzupełniające wytyczne techniczne i rekomendacje implementacyjne dla podmiotów we wszystkich państwach członkowskich.