Trustlinks free webinar: Turning regulation into resilience – Register now
Niniejszy artykuł został napisany przez Mariusza Bonisławskiego, radcę prawnego, oraz Mateusza Grosickiego, adwokata i partnera, w Kancelarii Graś i Wspólnicy – wiodącej polskiej kancelarii prawnej specjalizującej się w prawie cyberbezpieczeństwa, compliance i odpowiedzialności korporacyjnej.
Dyrektywa NIS2 wprowadza fundamentalną zmianę w podejściu do cyberbezpieczeństwa w Unii Europejskiej. Po raz pierwszy wprost przypisuje osobistą odpowiedzialność za cyberbezpieczeństwo członkom organów zarządzających, w tym członkom zarządów spółek. Oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT czy compliance, a staje się obszarem bezpośredniego nadzoru kadry kierowniczej.
W artykule wyjaśniamy:
Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r.) dotyczy środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w UE. Zastępuje wcześniejszą dyrektywę NIS1 i znacząco rozszerza zarówno zakres podmiotowy, jak i katalog obowiązków.
Dyrektywa nie stosuje się bezpośrednio – wymaga implementacji do prawa krajowego.
Państwa członkowskie miały czas na transpozycję do 17 października 2024 r.
W Polsce wdrożenie następuje poprzez nowelizację:
Dyrektywa NIS2 obejmuje:
Ich definicje zawarto w art. 3 dyrektywy. Ostateczne wykazy mają zostać określone przez państwa członkowskie.
Na obecnym etapie przedsiębiorcy mogą dokonać wstępnej samooceny, analizując m.in.:
Najistotniejszą zmianą w NIS2 jest bezpośrednie przypisanie odpowiedzialności organom zarządzającym. Zgodnie z art. 20 ust. 1 dyrektywy, to organy zarządzające:
Obowiązki te mają charakter osobisty i nie mogą być skutecznie przerzucone wyłącznie na działy IT, zewnętrznych dostawców czy pełnomocników.
Podmioty objęte NIS2 muszą wdrożyć środki zarządzania ryzykiem, których minimalny katalog określa art. 21 ust. 2 dyrektywy. Obejmują one m.in.:
Środki te muszą być adekwatne, proporcjonalne i stale aktualizowane, a nadzór nad nimi spoczywa na organach zarządzających.
Dyrektywa NIS2 wprowadza szczegółowe zasady zgłaszania poważnych incydentów cyberbezpieczeństwa (art. 23).
Choć formalnie zgłoszenia dokonuje podmiot, to członkowie zarządu odpowiadają za:
Brak procedur lub błędna ocena zdarzenia może zostać uznana za naruszenie obowiązków nadzorczych.
NIS2 nie nakłada wprost obowiązku certyfikacji czy określonego wykształcenia, ale w praktyce wymaga, aby członkowie organów zarządzających:
W praktyce oznacza to konieczność:
Dyrektywa NIS2 kładzie szczególny nacisk na bezpieczeństwo łańcucha dostaw. Organy zarządzające muszą nadzorować m.in.:
Cyberatak u dostawcy może bowiem skutkować odpowiedzialnością po stronie podmiotu objętego NIS2.
Dyrektywa NIS2 przewiduje zarówno sankcje wobec podmiotów, jak i sankcje osobiste wobec osób pełniących funkcje zarządcze. Możliwe sankcje obejmują:
Projekt polskiej ustawy przewiduje dodatkowo możliwość kar pieniężnych wobec kierowników podmiotów w rozumieniu ustawy o rachunkowości oraz ustawy o finansach publicznych.
Dyrektywa NIS2 zasadniczo zmienia model odpowiedzialności za cyberbezpieczeństwo, przenosząc ciężar nadzoru bezpośrednio na organy zarządzające. Członkowie zarządów muszą liczyć się z osobistą odpowiedzialnością, w tym finansową i organizacyjną.
Już na etapie prac legislacyjnych zasadne jest:
Czy NIS2 dotyczy wszystkich spółek?
– Nie. Dyrektywa obejmuje podmioty kluczowe i ważne działające w określonych sektorach.
Czy odpowiedzialność można przenieść na dział IT?
– Nie. Organy zarządzające ponoszą osobistą odpowiedzialność nadzorczą.
Czy grozi zakaz pełnienia funkcji w zarządzie?
– Tak – w skrajnych przypadkach dyrektywa przewiduje takie sankcje.
Czy warto przygotować się przed wejściem ustawy w życie?
– Tak. Wczesne działania ograniczają ryzyko sankcji i odpowiedzialności osobistej.
Kancelaria Graś i Wspólnicy to polska kancelaria prawna z bogatym doświadczeniem w zakresie prawa cyberbezpieczeństwa, compliance korporacyjnego i kwestii regulacyjnych. Jako partner firmy Whistleblowing Solutions AB, dostawcy systemu Whistlelink i Trustlinks, kancelaria ściśle współpracuje z organizacjami w całej Polsce, pomagając im zrozumieć i wypełniać obowiązki wynikające z implementacji dyrektywy NIS2 oraz innych unijnych regulacji do polskiego porządku prawnego.
Więcej informacji o usługach kancelarii znajdziesz na stronie kglegal.pl.
Trustlinks ceni prywatność użytkowników. Kontaktujemy się tylko w sprawie naszych rozwiązań.
Trustlinks ceni prywatność użytkowników. Kontaktujemy się tylko w sprawie naszych rozwiązań.
Masz pytania dotyczące cen, ram regulacyjnych lub tego, jak Trustlinks pasuje do Twojej organizacji? Nasz zespół jest tutaj, aby pomóc Ci znaleźć odpowiednie podejście.
→ Lub zapoznaj się z naszymi często zadawanymi pytaniami
Potrzebujesz pomocy w korzystaniu z platformy lub masz problem? Nasz zespół wsparcia jest gotowy do pomocy.