Strona głównaStrona głównaseparatorBlogseparatorCzy Twoja firma podlega pod Dyrektywę NIS2?

Czy Twoja firma podlega pod Dyrektywę NIS2?

Jak często wykonywać kopie zapasowe danych w firmie?

Wzrost cyberzagrożeń sprawił, że Unia Europejska wprowadza nowe, znacznie ostrzejsze przepisy. Dyrektywa NIS2 to rozszerzenie dotychczasowych regulacji, które istotnie zwiększa liczbę firm z nowymi obowiązkami w zakresie cyberbezpieczeństwa. Czy dotyczy to również Twojego biznesu? Dowiedz się, kto musi wdrożyć nowe standardy i dlaczego nie warto odkładać tego na później.

Spis treści:

  1. Dlaczego NIS2 staje się Twoim problemem?
  2. Jak sprawdzić, czy podlegasz pod NIS2?
  3. Kiedy musisz się zgłosić?
  4. Niektóre usługi podlegają automatycznie
  5. Co, jeśli Twoja firma podlega pod NIS2?
  6. Podsumowanie

Dlaczego NIS2 staje się Twoim problemem?

Możesz uważać, że cyberbezpieczeństwo to problem dużych korporacji, banków czy wojska. Nowa unijna Dyrektywa NIS2 (Network and Information Security) zmienia to podejście. Unia doszła do wniosku, że atak na jednego, małego dostawcę w łańcuchu może sparaliżować kluczowy sektor gospodarki. Dlatego Dyrektywa ujednolica i znacząco rozszerza listę podmiotów, które muszą dbać o bezpieczeństwo sieci i systemów informatycznych.

Nie chodzi już tylko o operatorów usług kluczowych, jak w poprzedniej regulacji, ale o tysiące średnich i dużych przedsiębiorstw z wielu branż. Najważniejszy jest fakt, że Dyrektywa nakłada odpowiedzialność bezpośrednio na organy zarządzające i przewiduje dotkliwe kary finansowe, sięgające nawet 10 mln EUR lub 2% rocznego obrotu firmy. To oznacza, że cyberbezpieczeństwo przestaje być wyłącznie problemem działu IT. Staje się ryzykiem biznesowym, którym musi zarządzać zarząd.

Jak sprawdzić, czy podlegasz pod NIS2?

Pierwszym krokiem, który musisz wykonać, aby ustalić, czy Dyrektywa NIS2 Cię dotyczy, jest analiza Twojego biznesu pod kątem dwóch kluczowych kryteriów: wielkości przedsiębiorstwa i sektora działalności.

Wielkość ma znaczenie, ale nie zawsze

Zgodnie z unijnymi zasadami, Dyrektywa NIS2 obejmuje firmy, które spełniają kryterium średniego lub dużego przedsiębiorstwa. W praktyce oznacza to organizacje, które:

  • Zatrudniają 50 lub więcej pracowników,
  • Osiągają roczny obrót powyżej 10 milionów euro lub posiadają sumę bilansową przekraczającą 10 milionów euro.

Jeżeli Twoja firma spełnia te warunki, przejdź do analizy sektora działalności.

Kiedy musisz się zgłosić?

NIS2 dzieli podmioty na dwie główne kategorie – kluczowe i ważne. To rozróżnienie wpływa na poziom nadzoru, ale same wymagania dotyczące cyberbezpieczeństwa są niemal identyczne.

Sektory kluczowe

To organizacje o krytycznym znaczeniu dla funkcjonowania społeczeństwa i gospodarki:

  • energetyka (prąd, gaz, ciepło, ropa),
  • transport (lotniczy, kolejowy, wodny, drogowy),
  • bankowość i infrastruktura rynków finansowych,
  • ochrona zdrowia (szpitale, kliniki, laboratoria),
  • woda pitna i ścieki,
  • infrastruktura cyfrowa (operatorzy DNS, rejestry domen TLD, dostawcy usług w chmurze),
  • administracja publiczna,
  • przestrzeń kosmiczna.

Sektory ważne

Choć nie tak krytyczne jak kluczowe, ich zakłócenie może mieć duży wpływ na bezpieczeństwo i dobrobyt:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja i dystrybucja chemikaliów,
  • produkcja i przetwórstwo żywności,
  • produkcja (wybrane sektory): np. urządzenia medyczne, motoryzacja, komputery, elektronika,
  • dostawcy usług cyfrowych (np. wyszukiwarki, media społecznościowe, platformy handlu online),
  • sektor badawczy.

Jeśli Twoja firma jest średnim lub dużym przedsiębiorstwem i działa w jednym z powyższych sektorów, prawdopodobnie podlegasz pod NIS2 i masz obowiązek wdrożenia określonych zabezpieczeń.

Kiedy musisz się zgłosić?

W odróżnieniu od poprzedniej dyrektywy, NIS2 kładzie nacisk na samoidentyfikację. Oznacza to, że obowiązek sprawdzenia, czy podlegasz pod regulację i zgłoszenia tego właściwym organom, spoczywa na Twojej firmie.

Nie czekaj na list urzędowy. Państwa członkowskie mają stworzyć efektywne mechanizmy, które pozwolą przedsiębiorcom na samodzielną rejestrację. Ignorowanie tego obowiązku to prosta droga do nałożenia kar, ponieważ brak zgłoszenia nie zwalnia z odpowiedzialności. Zgodnie z projektami przepisów, to na Tobie ciąży odpowiedzialność, by samodzielnie przeprowadzić analizę statusu firmy.

Niektóre usługi podlegają automatycznie

Pamiętaj: zasada "średniego lub dużego przedsiębiorstwa" ma kluczowe wyjątki. Nawet jeśli jesteś formalnie mikro- lub małą firmą, musisz stosować się do NIS2, jeśli świadczysz usługi o krytycznym znaczeniu.

Automatycznie objęte NIS2, niezależnie od wielkości, są podmioty świadczące usługi z sektora infrastruktury cyfrowej, takie jak:

  • dostawcy usług TLD (domen najwyższego poziomu),
  • dostawcy usług DNS,
  • dostawcy publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej,
  • dostawcy kwalifikowanych usług zaufania.

W praktyce oznacza to, że niektóre firmy z sektora IT, telekomunikacyjnego czy zaufania cyfrowego wchodzą w zakres Dyrektywy, nawet jeśli mają poniżej 50 pracowników.

Co, jeśli Twoja firma podlega pod NIS2?

Jeśli wstępna analiza wskazuje, że Dyrektywa NIS2 dotyczy Twojej firmy, musisz działać. Celem regulacji jest wymuszenie na Tobie i Twojej organizacji wdrożenia skutecznego systemu zarządzania ryzykiem cybernetycznym.

Nowe obowiązki to m.in.:

  • Regularne oceny ryzyka - systematyczna identyfikacja, analiza i zarządzanie zagrożeniami.
  • Środki bezpieczeństwa - wdrożenie środków technicznych i organizacyjnych (np. szyfrowanie, audyty, zarządzanie incydentami).
  • Bezpieczeństwo łańcucha dostaw - kontrola ryzyka związanego z Twoimi dostawcami i podwykonawcami.
  • Zgłaszanie incydentów - obowiązek powiadomienia właściwych organów o poważnym incydencie w ściśle określonym czasie (często już w ciągu 24 godzin od wykrycia).

Nie chodzi o to, by mieć „jakieś” zabezpieczenia, ale o to, by były one proporcjonalne, udokumentowane i skuteczne. Musisz wykazać, że świadomie i aktywnie zarządzasz cyberbezpieczeństwem. Inaczej kary zostaną nałożone nie tylko na firmę, ale mogą dotknąć bezpośrednio także zarząd.

Podsumowanie

Dyrektywa NIS2 to realna zmiana, która wykracza daleko poza sam sektor IT. Prawdopodobieństwo, że Twoja firma zostanie objęta nowymi obowiązkami, jest większe niż kiedykolwiek. 

NIS2 to nieunikniony wymóg, ale i szansa. Zabezpieczając swoją firmę pod kątem Dyrektywy, budujesz zaufanie klientów i partnerów, oraz zapewniasz ciągłość działania biznesu.

W KNT Technology pomagamy firmom takim jak Twoja. Nie musisz się głowić nad zawiłościami prawnymi i technicznymi. Nasz zespół ekspertów IT i cyberbezpieczeństwa precyzyjnie ustali, czy podlegasz pod NIS2 i przeprowadzi Cię przez cały proces dostosowawczy.