Dyrektywa NIS2 weszła w życie w październiku 2024 roku i zastąpiła poprzednią dyrektywę NIS z 2016 roku. Zakres NIS2 jest znacznie szerszy — szacuje się że w Polsce obejmuje kilkanaście tysięcy podmiotów.
Kogo dotyczy NIS2?
NIS2 dzieli organizacje na podmioty kluczowe i podmioty ważne. Ogólna zasada: firma zatrudniająca ponad 50 pracowników lub osiągająca obrót powyżej 10 mln EUR w sektorze objętym dyrektywą — prawdopodobnie podlega NIS2. Wiele firm odkryje że podlega regulacji przez łańcuch dostaw jako dostawca dla podmiotu kluczowego.
Jakie wymagania nakłada NIS2?
Artykuł 21 dyrektywy definiuje minimalne środki zarządzania ryzykiem:
- Polityka analizy ryzyka i bezpieczeństwa systemów informacyjnych
- Obsługa incydentów — procedury wykrywania, zgłaszania i reagowania
- Ciągłość działania — backup, disaster recovery, zarządzanie kryzysowe
- Bezpieczeństwo łańcucha dostaw — ocena bezpieczeństwa dostawców
- Uwierzytelnianie wieloskładnikowe (MFA) lub ciągłe
- Podstawowe szkolenia z cyberhigieny dla pracowników
Jakie kary grożą za niedopełnienie?
Dla podmiotów kluczowych — kary do 10 mln EUR lub 2% całkowitego rocznego obrotu. Dla podmiotów ważnych — do 7 mln EUR lub 1,4% obrotu. Dyrektywa wprowadza też osobistą odpowiedzialność członków zarządu.
Od czego zacząć przygotowania?
Pierwszym krokiem jest ustalenie czy i w jakiej kategorii firma podlega NIS2. Następnie analiza luk (gap analysis) między obecnym stanem bezpieczeństwa a wymaganiami dyrektywy. Na tej podstawie przygotowuje się plan wdrożenia z priorytetami i harmonogramem.
Kluczowe działania techniczne: wdrożenie MFA, inwentaryzacja aktywów, procedury reagowania na incydenty i polityki backup. Organizacyjne — szkolenia pracowników, wyznaczenie osoby odpowiedzialnej za bezpieczeństwo i regularne audyty. NIS2 to proces, nie jednorazowy projekt.
VOL System
Potrzebujesz pomocy z wdrożeniem? Skontaktuj się — pierwsza konsultacja jest bezpłatna.
Umów bezpłatną konsultację →
