Wprowadzenie dyrektywy NIS 2 znacząco zmienia podejście do cyberbezpieczeństwa w Unii Europejskiej. Tym razem nie chodzi tylko o duże firmy z branży IT czy strategiczne podmioty publiczne. NIS 2 sięga znacznie dalej – także do firm, które do tej pory mogły nie zdawać sobie sprawy, że podlegają jakimkolwiek obowiązkom w zakresie bezpieczeństwa sieci i systemów informatycznych. Jeśli prowadzisz działalność w jednej z wymienionych niżej branż, warto się zatrzymać i zadać sobie pytanie: czy moja firma nie powinna spełniać wymogów NIS 2?
Czym jest NIS 2?
NIS 2 to nowa unijna dyrektywa dotycząca cyberbezpieczeństwa (ang. Network and Information Systems Directive 2), która weszła w życie 16 stycznia 2023 r. i zastępuje wcześniejszą wersję z 2016 roku. Celem NIS 2 jest ujednolicenie i zaostrzenie standardów ochrony systemów informacyjnych w całej Unii Europejskiej. Dyrektywa nakłada obowiązki nie tylko na duże podmioty infrastrukturalne, ale również na szeroką grupę średnich i małych przedsiębiorstw działających w sektorach uznanych za krytyczne lub istotne dla gospodarki i społeczeństwa.
Firmy objęte NIS 2 będą musiały m.in.:
- wdrożyć środki techniczne i organizacyjne zapewniające bezpieczeństwo systemów IT,
- zgłaszać incydenty bezpieczeństwa w ciągu 24 godzin od ich wykrycia,
- prowadzić ocenę ryzyka i weryfikować dostawców pod kątem cyberbezpieczeństwa,
- wskazać osobę odpowiedzialną za kontakt z właściwym organem nadzorującym.
Państwa członkowskie, w tym Polska, mają obowiązek implementować NIS 2 do prawa krajowego do 17 października 2024 r. Jeśli prowadzisz firmę w branży IT, energii, zdrowia, gospodarki wodnej lub komunikacji elektronicznej, warto już teraz sprawdzić, czy dyrektywa dotyczy również Ciebie.
Hosting i usługi chmurowe
Wyobraź sobie niewielką firmę, która świadczy lokalnie usługi hostingu stron internetowych i serwerów VPS dla małych e-sklepów. Taki podmiot, mimo że nie zatrudnia setek osób, może podlegać NIS 2 jako dostawca istotnych usług cyfrowych. Dyrektywa nie robi wyjątków dla „małych, lokalnych graczy” – jeśli zapewniasz infrastrukturę, od której zależy funkcjonowanie innych podmiotów, jesteś potencjalnie objęty regulacją.
W jaki sposób podejść do biznesu w 2025?
Jeśli nie masz pewności, czy NIS 2 dotyczy Twojej firmy, warto to zweryfikować z prawnikiem lub specjalistą ds. bezpieczeństwa. Obowiązki z dyrektywy to nie tylko formalność – ich niewypełnienie może skutkować dotkliwymi sankcjami. W takim wypadku możemy przeprowadzić u Ciebie audyt. Napisz do mnie maila i omówimy szczegóły.
Operatorzy telekomunikacyjni i lokalni ISP
Jeśli jesteś dostawcą internetu w jednym mieście lub na ograniczonym osiedlu, prowadzisz światłowodową sieć i masz klientów biznesowych lub indywidualnych – NIS 2 może dotyczyć także Ciebie. Nie liczy się skala, tylko rola w utrzymaniu ciągłości usług cyfrowych.
Energia odnawialna z perspektywy NIS 2
Mała farma fotowoltaiczna, która dostarcza prąd do lokalnej sieci, również wpisuje się w zakres dyrektywy. Dlaczego? Bo energia to infrastruktura krytyczna. Jeżeli Twoje przedsiębiorstwo zarządza produkcją lub przesyłem energii, choćby w ograniczonym zakresie, musisz uwzględnić NIS 2 w swojej polityce bezpieczeństwa.
Gospodarka wodna w 2025 w dobie prawa unijnego
Nie trzeba być wielkim operatorem wodociągów, by znaleźć się na radarze unijnych przepisów. Jeśli prowadzisz lokalne przedsiębiorstwo zajmujące się uzdatnianiem wody lub oczyszczaniem ścieków na potrzeby małej gminy, jesteś częścią infrastruktury istotnej dla życia i zdrowia – a więc potencjalnie objętej NIS 2.
Małe placówki medyczne
Prywatna klinika, która korzysta z elektronicznej dokumentacji medycznej i przetwarza dane pacjentów, powinna z wyprzedzeniem przygotować się na wdrożenie wymogów NIS 2. Wbrew pozorom, to właśnie takie placówki często padają ofiarą cyberataków – są wystarczająco ważne, a jednocześnie często słabiej zabezpieczone.
