Zapraszamy do kontaktu:(+48) 22 113 14 51

  • Region CEE

    • Kompleksowe usługi w regionie Europy Środkowo-Wschodniej

      Planujesz rozwój firmy poza granicami Polski? Wybierz KR Group – jednego dostawcę usług profesjonalnych w regionie CEE! Nasze oddziały znajdziesz w: Czechach, Rumunii, Węgrzech i na Słowacji. Zamiast szukać usługodawców w każdym kraju i mnożyć wydatki, podejmij współpracę z nami! Pomożemy Ci wyzwolić synergię regionalną poprzez redukcję zbędnych kosztów i przyspieszenie procesów.

  • Czechy

    • Czechy

      Od 2017 roku nasz zespół wspiera przedsiębiorców w zakresie księgowości, kadr i płac oraz doradztwa podatkowego. Pomożemy Ci wykorzystać potencjał rynku czeskiego i przyspieszyć ekspansję Twojej firmy.

  • Rumunia

    • Rumunia

      Od 2016 roku wspieramy naszych Klientów, oferując usługi kadrowo-płacowe, księgowość, doradztwo podatkowe oraz compliance w zakresie podatkowym. Wesprzemy Twoją firmę zarówno w wejściu na rynek rumuński, jak i w rozwoju już istniejącego biznesu.

  • Słowacja

    • Słowacja

      Współpracując ze sprowadzonymi dostawcami usług księgowych, VAT Compliance, czy także doradztwa podatkowego, pomagamy firmom rozszerzyć soją działalność na rynek Europy Środkowo-Wschodniej.

  • Węgry

    • Węgry

      Dzięki jednej z najbardziej otwartych gospodarek w Europie, przedsiębiorcy moją liczyć na dogodne miejsce do inwestycji. Od 2016 roku wspieramy firmy w zakresie księgowości, doradztwa podatkowego, czy kadr i płac.

Publikacje
KR Group
Eksperci
Kariera
Kontakt
Zapytaj o wsparcie

Dyrektywa NIS 2 – czym jest i kogo dotyczy?

Dyrektywa NIS2 (Network and Information Security Directive) jest odpowiedzią Unii Europejskiej na rosnące zagrożenia cyberbezpieczeństwa przedsiębiorstw.
Autor:
Paulina Ryndak
Corporate Services Senior Consultant
Maria Matyka
Senior Corporate Services Consultant

Dyrektywa NIS2 to rozszerzenie i aktualizacja dyrektywy NIS 1, która wzmacnia, harmonizuje i co ważne, rozszerza - zarówno w zakresie obowiązków, jak i objęcia nimi nowych podmiotów - regulacje związane z cyberbezpieczeństwem i cyberodpornością przedsiębiorstw Unii Europejskiej.

Wyzwania w obszarze cyberbezpieczeństwa

Corocznie do wiadomości publicznej docierają nowe informacje o skutecznych cyberatakach. Jednym z najsłynniejszych jest atak na sieć hoteli Marriott z 2014 roku (podany do wiadomości publicznej dopiero w 2018 roku), na skutek którego hakerzy uzyskali dostęp do danych klientów sieci i którego koszty obejmowały kary za naruszenie regulacji dot. ochrony danych osobowych, odszkodowania w procesach zbiorowych oraz wydatki prawne.

Wyciek danych osobowych nie jest jednak jedynym celem cyberataków – priorytetem może być także:

  • wykradzenie informacji rządowych (atak na amerykańską firmę SolarWinds, której klientami były min. instytucje rządowe – 2018 r.);
  • zakłócenie ciągłości świadczenia usług (na skutek ataku na Sony PlayStation przerwa w działaniu serwisu firmy trwała niemal miesiąc, wykradziono także dane użytkowników - 2018);
  • wyłudzenie okupu (niedawny głośny w Polsce atak na ALAB Laboratoria – zarząd spółki podjął decyzję o odmowie zapłaty okupu, w związku z czym ujawniono wrażliwe dane osobowe pacjentów firmy).

Założenia NIS 2

Projektując dyrektywę NIS 2 Komisja Europejska postawiła sobie za cel poprawienie cyberodporności kluczowych przedsiębiorstw na obszarze całej UE. Jak pokazują przytoczone powyżej przykłady, cyberataki realnie mogą utrudnić prowadzenie działalności gospodarczej, generować straty finansowe i podważać zaufanie klientów i użytkowników do firmy.

Branże i podmioty objęte nowymi obowiązkami

Odpowiedź na pytanie o zakres podmiotowy regulacji NIS 2 jest złożona. Sprowadzając je do jednej ogólnej reguły, należałoby przyjąć, że  analizę pod kątem podlegania pod regulacje NIS 2 powinny przeprowadzić wszystkie podmioty związane z sektorami gospodarki wskazanymi poniżej, które jednocześnie spełniają kryteria podmiotu średniego lub dużego[1]. Chodzi więc o podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.

Ważne

1. Podmioty kluczowe

Dyrektywa wprowadza pojęcie podmiotu kluczowego (essential entities) oraz pomiotu ważnego (important entities).

Do pierwszej kategorii zaliczają się podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. W załączniku wyszczególniono 10 sektorów. Są to:

  1. energetyka;
  2. transport;
  3. bankowość i infrastruktura rynków finansowych;
  4. ochrona zdrowia;
  5. woda pitna;
  6. ścieki;
  7. infrastruktura cyfrowa;
  8. zarządzanie usługami ICT;
  9. administracja publiczna;
  10. przestrzeń kosmiczna.

Z pewnymi wyjątkami (przykładem mogą być tu dostawcy usług zaufania) podmiotem kluczowym będą tylko podmioty duże, zatrudniające więcej niż 250 osób, oraz których obroty roczne przekraczają 50 mln euro, i/lub których roczna suma bilansowa przekracza 43 mln euro[2].

2. Podmioty ważne

Drugą kategorią podmiotów wprowadzoną przez NIS 2 są podmioty ważne, do których zaliczaj się:

  • podmioty średnie[3], które jednocześnie działają we wskazanych powyżej, kluczowych sektorach gospodarki;
  • podmioty średnie lub duże[4], które jednocześnie działają w sektorach ważnych (other critical sectors) określonych w Załączniku II do NIS 2. Zaliczają się do nich:
  • usługi pocztowe i kurierskie;
  • gospodarowanie odpadami;
  • produkcja, przetwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego;
  • dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych;
  • badania naukowe.

Powyższe założenia NIS 2 mogą być modyfikowane na szczeblu krajowym. Obecny projekt polskiej ustawy wdrażającej NIS 2[5] rozszerza zakres podmiotowy regulacji poprzez:

  • włączenie do podmiotów kluczowych, przedsiębiorstw spełniających kryteria podmiotu dużego, które jednocześnie działają w sektorach gospodarki z załącznika II do NIS 2 (wskazane powyżej w punkcie 2);

a także

  • włączeniu niektórych sektorów z załącznik II do NIS 2 do kategorii sektorów kluczowych – dotyczy to w szczególności sektora produkcji.

Wskazany projekt znajduje się obecnie w fazie konsultacji społecznych i opiniowania.  

Ważne

Istotnym czynnikiem, który wpłynie na rozpowszechnienie standardu ochrony przewidzianej NIS 2 jest fakt, że podmioty kluczowe i ważne będą zobowiązane do zapewnienia cyberbezpieczeństwa swoich łańcuchów dostaw. W konsekwencji będą one wymagać od swoich dostawców i klientów stosowania odpowiednich standardów, nawet jeśli same te podmioty nie będą identyfikowane jako podmiot kluczowy lub ważny.

Dyrektywa NIS 2 wprowadza zasadę samoidentyfikacji – to przedsiębiorca musi samodzielnie zbadać swój status w kontekście definicji dużego i średniego podmiotu oraz sektora świadczonych przez niego usług.

Terminy

Termin implementacji NIS 2 do krajowego porządku prawnego przypada 18 października 2024 roku. Tymczasem projekt nowelizujący Ustawę o krajowym systemie cyberbezpieczeństwa znajduje się obecnie w fazie konsultacji społecznych i opiniowania. Należy się zatem spodziewać opóźnienia we wdrożeniu unijnej regulacji do polskiego porządku prawnego. Tym niemniej, począwszy od 18 października 2024 roku polskie przedsiębiorstwa powinny być gotowe do wdrożenia odpowiedniego poziomu cyberbezpieczeństwa. Wdrożenie odpowiednich środków technicznych i organizacyjnych, świadomość ryzyk oraz systematyczne audyty stanowią klucz do skutecznego spełnienia wymagań NIS 2.

[1] W rozumieniu załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.

[2] Załącznik I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.

[3] W rozumieniu wskazanych powyżej przepisów - podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.

[4] W rozumieniu wskazanych powyżej przepisów - podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.

[5] Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa obecnie jest na etapie konsultacji publicznych: https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055201#13055201, dostęp: 26.09.2024 r.

Skrócony formularz
Zamów poradę online

Administratorem danych osobowych jest KR GROUP Sp. z o.o. z siedzibą w Warszawie. Twoje dane przetwarzamy, aby skontaktować się z Tobą, odpowiedzieć na wysłane do nas zapytanie lub przygotować wstępną ofertę. Podstawą prawną przetwarzania Twoich danych jest realizacja naszych prawnie uzasadnionych interesów oraz podejmowanie działań zmierzających do zawarcia i wykonania umowy. Przysługuje Ci prawo dostępu do treści Twoich danych, prawo ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do przeniesienia danych, prawo do wniesienia sprzeciwu wobec przetwarzania Twoich danych oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji o przetwarzaniu danych znajduje się pod linkiem: Polityka prywatności.

usersearthmagnifiercrossmenuarrow-right