Zmiany prawne

NIS2, czyli nowe obowiązki dla polskich przedsiębiorców w zakresie cyberbezpieczeństwa

Autor 4 min. czytania

W 2025 roku mają wejść w życie przepisy znowelizowanej Ustawy o Krajowym Systemie Cyberbezpieczeństwa, której celem będzie implementacja dyrektywy NIS2. Nowe przepisy nałożoną na polskich przedsiębiorców obowiązki, których wdrożenie będzie się wiązało z istotnymi kosztami. Nowe przepisy dotyczą szerokiej grupy polskich przedsiębiorców działających między innymi w branży produkcyjnej.

Spis treści ukryj
1 Kiedy NIS2 zacznie obowiązywać?
2 Kogo dotyczy NIS2?
3 Obowiązki w ramach NIS2
4 Konsekwencje naruszenia NIS2

Kiedy NIS2 zacznie obowiązywać?

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dyrektywa NIS2) weszła w życie 16 stycznia 2023 r., ale w Polsce zacznie obowiązywać dopiero po jej implementacji do krajowego porządku prawnego. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, której celem będzie implementacja NIS2, ma wejść w życie w 2025 roku. Dokładny termin nie jest jeszcze znany.

Kogo dotyczy NIS2?

Nowymi obowiązkami zostanie objęte szerokie grono polskich przedsiębiorców. NIS2 dzieli podmioty podlegające nowym przepisom na dwie kategorie:

  1. podmioty podlegające przepisom bez względu na wielkość (np. dostawca usług DNS, dostawca usług zaufania czy rejestr nazw domen najwyższego poziomu TLD),
  2. podmioty, podlegające przepisom tylko wówczas, gdy jednocześnie spełniają 2 warunki:
    • są podmiotami określonej wielkości,
    • działają we wskazanym w ustawie sektorze.
Przedsiębiorca jest przedsiębiorcą dużym, jeśli:
  • zatrudnia minimum 250 osób (przez zatrudnionych należy rozumieć osoby na umowach o pracę, ale również umowy zatrudnione na podstawie umów cywilnoprawnych) lub
  • ma obrót lub całkowity bilans roczny przekraczający 50 mln EUR.
Przedsiębiorca jest przedsiębiorcą średnim, jeśli
  • zatrudnia więcej niż 50 osób (przez zatrudnionych należy rozumieć osoby na umowach o pracę, ale również umowy zatrudnione na podstawie umów cywilnoprawnych) lub
  • ma obrót lub całkowity bilans roczny nieprzekraczający 10 mln EUR.
Przepisy będą musiały stosować między innymi takie branże jak:
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT
  • Dostawcy usług cyfrowych
  • Produkcja żywności
  • Produkcja leków i wyrobów medycznych (ale również apteki ogólnodostępne czy hurtownie farmaceutyczne)
  • Produkcja elektroniki (w tym baterii, oświetlenia itp.)
  • Produkcja maszyn
  • Produkcja pojazdów (w tym samochodów, przyczep, naczep, wózków, rowerów itp.)
  • Produkcja, wytwarzanie i dystrybucja chemikaliów (w tym wytwarzaniem z substancji lub mieszanin wyrobów)
  • Ochrona zdrowia (w tym podmioty lecznicze)
  • Transport (przy czym w zakresie transportu drogowego – wyłącznie zarządcy dróg)
  • Energetyka (w tym wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór)
  • Bankowość i infrastruktura rynków finansowych
  • Usługi pocztowe
  • Zaopatrzenie w wodę pitną i jej dystrybucja
  • Zbiorowe odprowadzanie ścieków
  • Gospodarowanie odpadami
  • Badania naukowe
  • Przestrzeń kosmiczna

Projekt nowelizacji zakłada zasadę samoidentyfikacji. Tym samym przedsiębiorcy będą musieli samodzielnie ustalić, czy podlegają nowym przepisom i następnie wpisać się do wykazu podmiotów ważnych i kluczowych.

Obowiązki w ramach NIS2

Do nowych obowiązków podmiotów zobowiązanych będzie należało między innymi:

  • szacowanie ryzyka wystąpienia incydentu w zakresie cyberbezpieczeństwa,
  • wdrożenie polityki szacowania ryzyka,
  • zapewnienie bezpieczeństwa systemu informacyjnego,
  • zbieranie informacji o cyberzagrożeniach,
  • zarządzanie incydentami,
  • stosowanie mechanizmów zapewniających poufność,
  • integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
  • regularne przeprowadzanie aktualizacji oprogramowania itp.

Realizacja obowiązków będzie weryfikowana między innymi w czasie obowiązkowych audytów przeprowadzanych raz na 3 lata.

Konsekwencje naruszenia NIS2

Naruszenie założeń NIS2 grozi dotkliwymi karami w wysokości nawet 10 mln euro lub 2% światowych obrotów. Ponadto, odpowiedzialność finansową i osobistą może ponieść także kierownictwo wyższego stopnia.

Polscy przedsiębiorcy nie są gotowi na wyzwania związane z wejściem w życie nowych regulacji. Warto jak najszybciej zbudować świadomość w zakresie nowych obowiązków i ustalić, w jaki sposób konkretna organizacja powinna się do nich przygotować.

Więcej: Czy moja firma podlega pod NIS2? SPRAWDŹ w 2 minuty

Czytaj o NIS2:


Ten artykuł powstał we współpracy z Grant Thornton.

Grant Thornton to jedna z wiodących organizacji audytorsko-doradczych na świecie, obecna w 147 krajach i zatrudniająca 68 tys. pracowników. W Polsce działa od 30 lat, a zespół liczący około 1000 pracowników w 8 lokalizacjach wspiera klientów w takich obszarach, jak m.in. outsourcing rachunkowości oraz kadr i płac, tax compliance, audyt, doradztwo podatkowe i finansowe, obsługa prawna, konsulting biznesowy i cyfrowy czy dotacje dla firm.

Grant Thornton w codziennej pracy korzysta z systemu Softlab ERP.
Autor

Counsel, Kancelaria Prawna w Grant Thornton

Innych zainteresowało również: