Podczas bezpłatnej, niezobowiązującej rozmowy telefonicznej z lokalnym specjalistą Trustlinks omówimy, czy przepisy w zakresie NIS2 / UKSC mogą mieć zastosowanie do Państwa organizacji oraz na czym zazwyczaj polega zapewnienie zgodności z jej przepisami. Rozmowa ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.
Compliance Specialist, Trustlinks
Dyrektywa NIS2 (UE) 2022/2555 stanowi zaktualizowane prawo Unii Europejskiej w zakresie cyberbezpieczeństwa. Znacznie rozszerza ona zakres pierwotnej dyrektywy NIS, obejmując znacznie więcej sektorów i przedsiębiorstw różnej wielkości, a także podnosi poprzeczkę w zakresie zarządzania ryzykiem, zgłaszania incydentów, bezpieczeństwa łańcucha dostaw oraz odpowiedzialności zarządu. Państwa członkowskie UE miały obowiązek transponować dyrektywę NIS2 do prawa krajowego do dnia 17 października 2024 r. Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) weszła w życie w dniu 3 kwietnia 2026r.
NIS2 dzieli organizacje objęte zakresem stosowania na dwie kategorie – podmioty o znaczeniu kluczowym i ważne – obejmujące zasadniczo średnie i duże przedsiębiorstwa (zatrudniające co najmniej 50 pracowników lub osiągające obroty w wysokości co najmniej 10 mln euro) w poniższych sektorach. Niektórzy dostawcy o znaczeniu krytycznym są objęci zakresem stosowania niezależnie od wielkości.
Artykuł 21 dyrektywy określa minimalne środki zarządzania ryzykiem, które każda organizacja objęta jej zakresem musi wdrożyć, proporcjonalnie do swojej wielkości, narażenia na ryzyko oraz prawdopodobieństwa wystąpienia zdarzeń.
Zasady dotyczące analizy ryzyka, bezpieczeństwa systemów, kryptografii, kontroli dostępu, uwierzytelniania wieloskładnikowego (MFA) oraz bezpiecznego tworzenia oprogramowania – dostosowane do występujących zagrożeń.
Wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie incydentu w ciągu 72 godzin oraz przekazanie raportu końcowego w ciągu jednego miesiąca do krajowego zespołu CSIRT.
Oceniaj ryzyko związane z cyberbezpieczeństwem i zarządzaj nim w odniesieniu do bezpośrednich dostawców i usługodawców, a nie tylko w obrębie własnej sieci.
Organy zarządzające muszą zatwierdzać środki w zakresie cyberbezpieczeństwa, nadzorować ich wdrażanie oraz przechodzić regularne szkolenia. Obowiązuje odpowiedzialność osobista.
Zarządzanie kopiami zapasowymi, odzyskiwanie danych po awarii oraz procedury zarządzania kryzysowego – wszystkie te elementy są regularnie testowane.
Skoordynowane procesy związane z przyjmowaniem zgłoszeń, klasyfikacją i usuwaniem luk w zabezpieczeniach produktów i usług.
NIS2 wprowadza jedne z najsurowszych kar w zakresie cyberbezpieczeństwa w UE oraz osobistą odpowiedzialność kadry kierowniczej wyższego szczebla.
lub 2% całkowitego rocznego światowego obrotu
lub 1,4% całkowitego rocznego światowego obrotu
Organy zarządzające mogą zostać pociągnięte do osobistej odpowiedzialności za naruszenia, w tym – w poważnych przypadkach – podlegać tymczasowemu zakazowi pełnienia funkcji kierowniczych.
Trustlinks łączy platformę do ciągłego zarządzania zgodnością z przepisami z lokalną wiedzą ekspercką i wsparciem – aby pomóc Ci szybciej osiągnąć gotowość na NIS2 i utrzymać ją w miarę rozwoju oraz zmian w Twojej firmie.
Sprawdź zgodność swojej organizacji z wymaganiami dyrektywy NIS2 w ciągu kilku dni, a nie miesięcy. Otrzymasz przejrzysty, priorytetowy plan działań naprawczych.
Platforma Trustlinks automatyzuje gromadzenie dowodów, monitorowanie kontroli oraz generowanie raportów w całym środowisku.
Współpracuj z konsultantami, którzy znają krajowe przepisy transponujące unijne regulacje oraz organ regulacyjny właściwy dla Twojej branży.
Twórz dokumentację, o którą faktycznie proszą audytorzy i organy nadzorcze – bez konieczności ponownego tworzenia arkuszy kalkulacyjnych co kwartał.
Jeśli Państwa organizacja działa w jednej z wymienionych branż o charakterze kluczowym lub ważnym i zatrudnia co najmniej 50 pracowników lub osiąga obroty w wysokości 10 mln euro, prawdopodobnie ma do niej zastosowanie rozporządzenie NIS2 – przy czym w przypadku niektórych dostawców o znaczeniu krytycznym (np. dostawców usług DNS, rejestrów domen najwyższego poziomu, administracji publicznej) próg wielkości nie ma zastosowania. 15-minutowa rozmowa telefoniczna to dobry sposób na omówienie tej kwestii, choć ostateczną ocenę należy potwierdzić u wykwalifikowanego doradcy prawnego.
NIS2 obejmuje znacznie więcej sektorów (około 15 w porównaniu z 7), znosi swobodę decyzyjną państw członkowskich, która prowadziła do niespójnego określania zakresu stosowania NIS, wprowadza bardziej rygorystyczne terminy zgłaszania incydentów, nakłada obowiązek zarządzania ryzykiem w łańcuchu dostaw oraz przewiduje osobistą odpowiedzialność kadry kierowniczej wyższego szczebla, wiążącą się ze znacznie wyższymi karami.
Wczesne powiadomienie krajowego zespołu CSIRT w ciągu 24 godzin od stwierdzenia poważnego incydentu, zgłoszenie incydentu w ciągu 72 godzin (wraz ze wstępną oceną) oraz sporządzenie raportu końcowego w ciągu jednego miesiąca.
Do 10 mln euro lub 2% całkowitego rocznego obrotu globalnego (w zależności od tego, która z tych kwot jest wyższa) w przypadku podmiotów o kluczowym znaczeniu oraz do 7 mln euro lub 1,4% w przypadku podmiotów o istotnym znaczeniu. Na członków kierownictwa wyższego szczebla mogą również zostać nałożone sankcje osobiste, w tym tymczasowe zakazy pełnienia funkcji kierowniczych.
Rozporządzenie NIS2 weszło w życie 16 stycznia 2023 r., a państwa członkowskie UE miały obowiązek transponować je do prawa krajowego do 17 października 2024 r. Obecnie przepisy te są już stosowane w całej UE. W Polsce ustawa UKSC weszła w życie w dniu 3 kwietnia 2026r.
NIS2 nie nakłada obowiązku stosowania konkretnego systemu, jednak norma ISO 27001 (i jej odpowiedniki) obejmują większość wymogów NIS2 dotyczących zarządzania ryzykiem i znacznie ułatwiają wykazanie zgodności z tymi wymogami. Trustlinks automatycznie przyporządkowuje istniejące środki kontroli do odpowiednich artykułów NIS2.
Wstępne wdrożenie zgodności trwa zazwyczaj kilka miesięcy, w zależności od wielkości i stopnia dojrzałości organizacji. Ocena luk zajmuje 2–4 tygodnie; większym wyzwaniem jest usunięcie luk i zebranie dowodów. Jednak zgodność z NIS2 nie jest jednorazowym zadaniem – to ciągła praca wpisana w działalność organizacji. Trustlinks centralizuje wszystkie procesy – od oceny luk i analizy ryzyka po zarządzanie dostawcami i gromadzenie dowodów – na jednej platformie, dzięki czemu zachowujesz kontrolę na każdym etapie.
Omawiamy, czy rozporządzenie NIS2 prawdopodobnie będzie miało zastosowanie do Państwa organizacji, analizujemy poziom podmiotu, który może mieć zastosowanie, wskazujemy typowe obszary niedociągnięć oraz przedstawiamy zarys realistycznego planu działania w zakresie zapewnienia zgodności. Jest to rozmowa o charakterze informacyjnym — nie stanowi ona porady prawnej — i nie wiąże się z żadną presją sprzedażową. W celu uzyskania wiążącego ustalenia Państwa obowiązków zalecamy skonsultowanie się z wykwalifikowanym doradcą prawnym.
Porozmawiaj z lokalnym specjalistą Trustlinks. Nie musisz się przygotowywać – po prostu przynieś swoje pytania, a my omówimy, w jakiej sytuacji się znajdujesz i jakie są zazwyczaj kolejne kroki. Informacje mają charakter wyłącznie informacyjny; nie stanowią porady prawnej.
Niniejsza konsultacja ma charakter informacyjny i nie stanowi porady prawnej ani nie powoduje nawiązania stosunku prawniczego. W celu uzyskania wiążącej oceny Państwa zobowiązań prosimy zwrócić się do wykwalifikowanego doradcy prawnego.
Compliance Specialist, Trustlinks
Masz pytania dotyczące cen, ram regulacyjnych lub tego, jak Trustlinks pasuje do Twojej organizacji? Nasz zespół jest tutaj, aby pomóc Ci znaleźć odpowiednie podejście.
→ Lub zapoznaj się z naszymi często zadawanymi pytaniami
Potrzebujesz pomocy w korzystaniu z platformy lub masz problem? Nasz zespół wsparcia jest gotowy do pomocy.
Trustlinks ceni prywatność użytkowników. Kontaktujemy się tylko w sprawie naszych rozwiązań.