NIS2 obowiązuje – czy Twoja firma jest objęta? Regulacje a certyfikacj

Dyrektywa NIS2 (Network and Information Systems Directive 2) obowiązuje od 17 października 2024 roku i znacznie rozszerza zakres firm objętych obowiązkami cyberbezpieczeństwa w porównaniu z poprzednią dyrektywą NIS.

Kto jest objęty NIS2?

Dyrektywa NIS2 obejmuje 18 sektorów podzielonych na dwie kategorie podmiotów:

Podmioty kluczowe (essential entities) – energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, sektor kosmiczny.
Podmioty ważne (important entities) – usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja wyrobów medycznych, sprzęt komputerowy/elektroniczny, sektory cyfrowe (np. wyszukiwarki, marketplace), badania naukowe.

Progi wielkości firmy: co do zasady dyrektywa obejmuje firmy średniej wielkości (50+ pracowników lub roczny obrót 10+ mln EUR) z sektorów objętych oficjalnym wykazem Komisji Europejskiej. Niektóre podmioty (np. dostawcy DNS, rejestratorzy domen TLD, dostawcy publicznych usług komunikacji elektronicznej) są objęci niezależnie od wielkości.

Główne obowiązki firm objętych NIS2

Tabela poniżej zestawia kluczowe wymagania NIS2 z odpowiednimi obszarami normy ISO/IEC 27001:2022:

Obowiązek NIS2	Pokrycie w ISO 27001:2022
Polityka analizy ryzyka i bezpieczeństwa systemów informacyjnych	A.5 (Polityki bezpieczeństwa), Załącznik A.6 (Ocena ryzyka)
Obsługa incydentów cyberbezpieczeństwa	A.5.24–A.5.30 (Zarządzanie incydentami)
Ciągłość działania, zarządzanie kryzysowe, kopie zapasowe	A.5.29–A.5.30, A.8.13 (Backup)
Bezpieczeństwo łańcucha dostaw	A.5.19–A.5.23 (Relacje z dostawcami)
Bezpieczeństwo zasobów ludzkich, polityki dostępu, zarządzanie aktywami	A.6, A.5.9–A.5.15, A.5.16–A.5.18
Szyfrowanie i kryptografia	A.8.24 (Użycie kryptografii)
Uwierzytelnianie wieloskładnikowe (MFA)	A.8.5 (Bezpieczne uwierzytelnianie)

ISO 27001 a NIS2 – dlaczego warto?

Norma ISO/IEC 27001:2022 (System Zarządzania Bezpieczeństwem Informacji) jest uznawana za jeden z najbardziej efektywnych sposobów wykazania zgodności z wymaganiami NIS2 dotyczącymi zarządzania ryzykiem cyberbezpieczeństwa. Certyfikat ISO 27001 wydany przez akredytowaną jednostkę:

Dostarcza udokumentowanego systemu oceny ryzyk cyberbezpieczeństwa – kluczowy wymóg NIS2
Demonstruje udowodnione procesy reagowania na incydenty zgodne z wymogami zgłaszania (24h notyfikacja wstępna, 72h raport)
Obejmuje przegląd bezpieczeństwa łańcucha dostaw – nowy obszar szczególnie ważny w NIS2
Wymaga szkolenia i świadomości personelu – wymóg NIS2 wobec kierownictwa i pracowników
Stanowi obiektywny dowód należytej staranności w razie kontroli organu nadzorczego (w Polsce: CSIRT GOV i CSIRT NASK)

Sankcje za niezgodność z NIS2

Dyrektywa wprowadza znaczące kary administracyjne, znacznie wyższe niż w NIS:

Podmioty kluczowe: do 10 mln EUR lub 2% rocznego globalnego obrotu (wyższa kwota)
Podmioty ważne: do 7 mln EUR lub 1,4% rocznego globalnego obrotu (wyższa kwota)
Odpowiedzialność osobista zarządu – członkowie zarządu mogą być pociągnięci do osobistej odpowiedzialności za zaniedbania w cyberbezpieczeństwie

Jak przygotować się do NIS2?

Sprawdź, czy Twoja firma podlega NIS2 – zweryfikuj sektor i progi wielkości
Przeprowadź ocenę ryzyk cyberbezpieczeństwa – zgodnie z metodyką ISO 27005 lub ISO 31000
Wdróż ISO/IEC 27001:2022 – mapa drogowa do certyfikacji to zwykle 6–9 miesięcy
Przygotuj plan reagowania na incydenty – obejmujący wymagane terminy notyfikacji
Zweryfikuj bezpieczeństwo łańcucha dostaw – nowy, krytyczny obszar w NIS2
Skontaktuj się z akredytowaną jednostką certyfikującą w celu omówienia procesu certyfikacji

Powiązane oferty ITC

Dowiedz się więcej o możliwościach certyfikacji – napisz do naszego biura lub umów rozmowę telefoniczną. Wyceny przygotowujemy w ciągu 2 godzin w godzinach pracy.