Dyrektywa NIS 2 – ważne zmiany i obowiązki w zakresie cyberbezpieczeństwa

Dyrektywa NIS 2, której propozycję ogłoszono w 2020 roku, doczekała się legislacji. Oznacza to, że Polska ma 20 miesięcy na wdrożenie jej założeń w polskim ustawodawstwie. Dyrektywa jasno określa zasady współpracy międzynarodowej i krajowej. Wprowadza obowiązek raportowania incydentów i zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych.

Silnie odczuwalny w ostatnich latach rozwój cyfryzacji związany jest z wieloma korzyściami biznesowymi i gospodarczymi, ale też zagrożeniami. Wśród najczęstszych zagrożeń można wymienić działania grup przestępczych wyspecjalizowanych w cyberprzestępczości, wyciek danych osobowych i poufnych informacji oraz blokady usług kluczowych. Z tego też względu w 2016 roku Unia Europejska uchwaliła dyrektywę NIS. Zobowiązywała ona państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych. W Polsce była to ustawa o krajowym systemie cyberbezpieczeństwa (KSC).

• Polska ma 20 miesięcy na wdrożenie NIS 2 w polskim ustawodawstwie od daty przyjęcia
• wprowadza obowiązek raportowania incydentów
• wprowadza odpowiedzialność dla kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie
• nakłada większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania

NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia również Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie UE.

Treść dyrektywy NIS 2 dostępna jest tutaj: Dziennik Urzędowy Unii Europejskiej L333/1, rocznik 65 [wydanie polskie, 27.12.2022]