Zgodność z dyrektywą NIS2 i UKSC - wszystko w 15 minut

Bezpłatna 15-minutowa konsultacja

Podczas bezpłatnej, niezobowiązującej rozmowy telefonicznej z lokalnym specjalistą Trustlinks omówimy, czy przepisy w zakresie NIS2 / UKSC mogą mieć zastosowanie do Państwa organizacji oraz na czym zazwyczaj polega zapewnienie zgodności z jej przepisami. Rozmowa ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.

KRÓTKI OPIS DYREKTYWY NIS2

Co powinniśmy wiedzieć o dyrektywie NIS2?

Dyrektywa NIS2 (UE) 2022/2555 stanowi zaktualizowane prawo Unii Europejskiej w zakresie cyberbezpieczeństwa. Znacznie rozszerza ona zakres pierwotnej dyrektywy NIS, obejmując znacznie więcej sektorów i przedsiębiorstw różnej wielkości, a także podnosi poprzeczkę w zakresie zarządzania ryzykiem, zgłaszania incydentów, bezpieczeństwa łańcucha dostaw oraz odpowiedzialności zarządu. Państwa członkowskie UE miały obowiązek transponować dyrektywę NIS2 do prawa krajowego do dnia 17 października 2024 r. Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) weszła w życie w dniu 3 kwietnia 2026r.

KTO JEST OBJĘTY ZAKRESEM

Czy rozporządzenie NIS2 ma zastosowanie do Państwa organizacji?

NIS2 dzieli organizacje objęte zakresem stosowania na dwie kategorie – podmioty o znaczeniu kluczowym i ważne – obejmujące zasadniczo średnie i duże przedsiębiorstwa (zatrudniające co najmniej 50 pracowników lub osiągające obroty w wysokości co najmniej 10 mln euro) w poniższych sektorach. Niektórzy dostawcy o znaczeniu krytycznym są objęci zakresem stosowania niezależnie od wielkości.

Podmioty kluczowe Najwyższy poziom nadzoru i najsurowsze kary
Podmioty ważne Nadzór oparty na ryzyku, egzekwowanie przepisów po wystąpieniu zdarzenia
WYMAGANIA NIS2

Sześć filarów zgodności z NIS2

Artykuł 21 dyrektywy określa minimalne środki zarządzania ryzykiem, które każda organizacja objęta jej zakresem musi wdrożyć, proporcjonalnie do swojej wielkości, narażenia na ryzyko oraz prawdopodobieństwa wystąpienia zdarzeń.

Środki zarządzania ryzykiem

Zasady dotyczące analizy ryzyka, bezpieczeństwa systemów, kryptografii, kontroli dostępu, uwierzytelniania wieloskładnikowego (MFA) oraz bezpiecznego tworzenia oprogramowania – dostosowane do występujących zagrożeń.

Zgłaszanie zdarzeń (24 godz. / 72 godz. / 1 miesiąc)

Wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie incydentu w ciągu 72 godzin oraz przekazanie raportu końcowego w ciągu jednego miesiąca do krajowego zespołu CSIRT.

Bezpieczeństwo łańcucha dostaw

Oceniaj ryzyko związane z cyberbezpieczeństwem i zarządzaj nim w odniesieniu do bezpośrednich dostawców i usługodawców, a nie tylko w obrębie własnej sieci.

Zarządzanie i odpowiedzialność

Organy zarządzające muszą zatwierdzać środki w zakresie cyberbezpieczeństwa, nadzorować ich wdrażanie oraz przechodzić regularne szkolenia. Obowiązuje odpowiedzialność osobista.

Ciągłość działania

Zarządzanie kopiami zapasowymi, odzyskiwanie danych po awarii oraz procedury zarządzania kryzysowego – wszystkie te elementy są regularnie testowane.

Postępowanie w przypadku luk w zabezpieczeniach i ich ujawnianie

Skoordynowane procesy związane z przyjmowaniem zgłoszeń, klasyfikacją i usuwaniem luk w zabezpieczeniach produktów i usług.

KOSZT BRAKU DZIAŁAŃ

Kary za nieprzestrzeganie przepisów

NIS2 wprowadza jedne z najsurowszych kar w zakresie cyberbezpieczeństwa w UE oraz osobistą odpowiedzialność kadry kierowniczej wyższego szczebla.

Podmioty kluczoweDo 10 000 000 euro

lub 2% całkowitego rocznego światowego obrotu

Podmioty ważneDo 7 000 000 euro

lub 1,4% całkowitego rocznego światowego obrotu

Organy zarządzające mogą zostać pociągnięte do osobistej odpowiedzialności za naruszenia, w tym – w poważnych przypadkach – podlegać tymczasowemu zakazowi pełnienia funkcji kierowniczych.

NAJCZĘŚCIEJ ZADAWANE PYTANIA

Odpowiedzi na pytania dotyczące NIS2

Czy rozporządzenie NIS2 ma zastosowanie do mojej firmy?

Jeśli Państwa organizacja działa w jednej z wymienionych branż o charakterze kluczowym lub ważnym i zatrudnia co najmniej 50 pracowników lub osiąga obroty w wysokości 10 mln euro, prawdopodobnie ma do niej zastosowanie rozporządzenie NIS2 – przy czym w przypadku niektórych dostawców o znaczeniu krytycznym (np. dostawców usług DNS, rejestrów domen najwyższego poziomu, administracji publicznej) próg wielkości nie ma zastosowania. 15-minutowa rozmowa telefoniczna to dobry sposób na omówienie tej kwestii, choć ostateczną ocenę należy potwierdzić u wykwalifikowanego doradcy prawnego.

NIS2 obejmuje znacznie więcej sektorów (około 15 w porównaniu z 7), znosi swobodę decyzyjną państw członkowskich, która prowadziła do niespójnego określania zakresu stosowania NIS, wprowadza bardziej rygorystyczne terminy zgłaszania incydentów, nakłada obowiązek zarządzania ryzykiem w łańcuchu dostaw oraz przewiduje osobistą odpowiedzialność kadry kierowniczej wyższego szczebla, wiążącą się ze znacznie wyższymi karami.

Wczesne powiadomienie krajowego zespołu CSIRT w ciągu 24 godzin od stwierdzenia poważnego incydentu, zgłoszenie incydentu w ciągu 72 godzin (wraz ze wstępną oceną) oraz sporządzenie raportu końcowego w ciągu jednego miesiąca.

Do 10 mln euro lub 2% całkowitego rocznego obrotu globalnego (w zależności od tego, która z tych kwot jest wyższa) w przypadku podmiotów o kluczowym znaczeniu oraz do 7 mln euro lub 1,4% w przypadku podmiotów o istotnym znaczeniu. Na członków kierownictwa wyższego szczebla mogą również zostać nałożone sankcje osobiste, w tym tymczasowe zakazy pełnienia funkcji kierowniczych.

Rozporządzenie NIS2 weszło w życie 16 stycznia 2023 r., a państwa członkowskie UE miały obowiązek transponować je do prawa krajowego do 17 października 2024 r. Obecnie przepisy te są już stosowane w całej UE. W Polsce ustawa UKSC weszła w życie w dniu 3 kwietnia 2026r.

NIS2 nie nakłada obowiązku stosowania konkretnego systemu, jednak norma ISO 27001 (i jej odpowiedniki) obejmują większość wymogów NIS2 dotyczących zarządzania ryzykiem i znacznie ułatwiają wykazanie zgodności z tymi wymogami. Trustlinks automatycznie przyporządkowuje istniejące środki kontroli do odpowiednich artykułów NIS2.

Wstępne wdrożenie zgodności trwa zazwyczaj kilka miesięcy, w zależności od wielkości i stopnia dojrzałości organizacji. Ocena luk zajmuje 2–4 tygodnie; większym wyzwaniem jest usunięcie luk i zebranie dowodów. Jednak zgodność z NIS2 nie jest jednorazowym zadaniem – to ciągła praca wpisana w działalność organizacji. Trustlinks centralizuje wszystkie procesy – od oceny luk i analizy ryzyka po zarządzanie dostawcami i gromadzenie dowodów – na jednej platformie, dzięki czemu zachowujesz kontrolę na każdym etapie.

Omawiamy, czy rozporządzenie NIS2 prawdopodobnie będzie miało zastosowanie do Państwa organizacji, analizujemy poziom podmiotu, który może mieć zastosowanie, wskazujemy typowe obszary niedociągnięć oraz przedstawiamy zarys realistycznego planu działania w zakresie zapewnienia zgodności. Jest to rozmowa o charakterze informacyjnym — nie stanowi ona porady prawnej — i nie wiąże się z żadną presją sprzedażową. W celu uzyskania wiążącego ustalenia Państwa obowiązków zalecamy skonsultowanie się z wykwalifikowanym doradcą prawnym.

JESTEŚMY GOTOWI, KIEDY TY BĘDZIESZ GOTOWY

Dowiedz się wszystkiego o NIS2 w 15 minut – zupełnie za darmo.

Porozmawiaj z lokalnym specjalistą Trustlinks. Nie musisz się przygotowywać – po prostu przynieś swoje pytania, a my omówimy, w jakiej sytuacji się znajdujesz i jakie są zazwyczaj kolejne kroki. Informacje mają charakter wyłącznie informacyjny; nie stanowią porady prawnej.

Niniejsza konsultacja ma charakter informacyjny i nie stanowi porady prawnej ani nie powoduje nawiązania stosunku prawniczego. W celu uzyskania wiążącej oceny Państwa zobowiązań prosimy zwrócić się do wykwalifikowanego doradcy prawnego.

Logo Trustlinks w kolorze białym.

Porozmawiaj z działem sprzedaży

Masz pytania dotyczące cen, ram regulacyjnych lub tego, jak Trustlinks pasuje do Twojej organizacji? Nasz zespół jest tutaj, aby pomóc Ci znaleźć odpowiednie podejście.

→ Lub zapoznaj się z naszymi często zadawanymi pytaniami

Uzyskaj wsparcie dotyczące produktu

Potrzebujesz pomocy w korzystaniu z platformy lub masz problem? Nasz zespół wsparcia jest gotowy do pomocy.

Skontaktuj się z nami

Umów spotkanie

Wyślij nam wiadomość, a nasz zespół wkrótce się z Tobą skontaktuje.