16 stycznia 2023 roku weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) – tym samym zastępując dyrektywę NIS. Implementacja Dyrektywy NIS 2 do prawa krajowego miała nastąpić do 17 października 2024 r.
wejście w życie Dyrektywy NIS2
Czas na wdrożenie NIS2 do przepisów krajowych
Czym jest dyrektywa NIS 2?
Dyrektywa NIS2 wprowadza jednolite zasady dotyczące cyberbezpieczeństwa w Unii Europejskiej, zobowiązując państwa członkowskie do jego wzmocnienia.
Nakłada również wyższe wymagania związane z zarządzaniem ryzykiem, raportowaniem incydentów w kluczowych sektorach oraz regulacjami dotyczącymi współpracy, wymiany informacji, nadzoru i egzekwowania przepisów niż wcześniejsze przepisy. Co istotne, dyrektywa NIS2 obejmuje też więcej sektorów niż dotychczas i nakłada dotkliwe kary za brak zgodności.
Jakie są kary i sankcje za nieprzestrzeganie regulacji NIS 2?
Dyrektywa NIS2 przewiduje surowe kary dla podmiotów, które nie przestrzegają jej przepisów:
- Podmioty kluczowe: Kara do 10 000 000 EUR lub 2% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.
- Podmioty ważne: Kara do 7 000 000 EUR lub 1,4% rocznego światowego obrotu, zależnie od tego, która kwota jest wyższa.
- Dodatkowe sankcje: W przypadku naruszeń powodujących bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa lub zdrowia publicznego, kara może sięgać 100 000 000 zł. Możliwe są także zakazy zarządzania, cofnięcie zezwoleń lub certyfikacji.
- Odpowiedzialność kierownictwa: Menedżerowie mogą ponieść karę do 300% swojego miesięcznego wynagrodzenia.
Państwa członkowskie UE mogą dodatkowo wprowadzać własne sankcje, o ile są one proporcjonalne i odstraszające.
Czy jestem podmiotem kluczowym lub ważnym?
W celu dokładnej weryfikacji, czy Twoja organizacja jest zobowiązana do wdrożenia dyrektywy NIS 2, warto zasięgnąć porady prawników. Dyrektywa ma zastosowanie głównie do podmiotów o statusie średnich i dużych przedsiębiorców działających w sektorach kluczowych lub ważnych – są to w szczególności następujące branże:
Sprawdź, czy Twoja organizacja podlega pod wymagania dyrektywy NIS2 - wypełnij krótki formularz!
Jakie działania musisz podjąć?
W celu wdrożenia wymagań dyrektywy NIS2 Twoja organizacja musi podjąć następujące działania:
- Przeprowadzenie audytu w organizacji: w pierwszej kolejności niezbędna jest kompleksowa analiza aktualnego stanu zgodności Twojej organizacji z wymogami dyrektywy NIS2. Audyt luki zgodności powinien uwzględniać zarówno aspekty techniczne, jak i prawne.
- Przygotowanie strategii zarządzania ryzykiem: Po stwierdzeniu luk zgodności z wymogami dyrektywy NIS2 opracuj plan usunięcia niezgodności. W szczególności będzie się to wiązało z przygotowaniem strategii zarządzania ryzykiem związanym z cyberbezpieczeństwem.
- Edukacja: Należy szkolić pracowników, w tym kierownictwo, na temat cyberbezpieczeństwa. Pracownicy powinni być świadomi zagrożeń i wiedzieć, jak na nie reagować.
Jak możemy Cię wesprzeć?
Mając świadomość, że kompleksowe wdrożenie wymagań dyrektywy NIS2 wymaga zarówno wiedzy prawnej, jak i technicznej, razem z naszym partnerem będącym liderem w dziedzinie cyberbezpieczeństwa – firmą Unshade – jesteśmy w stanie wesprzeć kompleksowo Twoją organizację w poniższym zakresie:
ocena aktualnego stanu cyberbezpieczeństwa i spełniania wymagań prawnych wynikających z dyrektywy NIS2
przeprowadzimy kompleksowy audyt luk zgodności z wymogami dyrektywy NIS 2
ustalenie zakresu działań korygujących
przedstawimy praktyczne zalecenia mające na celu uzupełnienie braków w wymaganiach prawnych oraz w fizycznych i technicznych zabezpieczeniach IT.
szkolenie personelu, w tym najwyższego kierownictwa
przeprowadzimy szkolenia z zakresu wymogów prawnych i IT zarówno dla pracowników operacyjnych, jak i kadry zarządzającej.
Podejście firmy Unshade i kancelarii _Just_LAW łączy zaawansowaną wiedzę techniczną i doświadczenie w analizie ryzyk związanych z cyberbezpieczeństwem z dogłębną znajomością wymagań prawnych dotyczących cyberbezpieczeństwa i ochrony informacji, co pozwala nam dostarczyć pełny obraz sytuacji w Twojej organizacji. Dzięki temu Twoja firma będzie mogła nie tylko spełnić wymogi regulacyjne, ale również wzmocnić swoją odporność na cyberzagrożenia.
Zdaj się na nas
Jesteśmy do Twojej dyspozycji
Agnieszka Rapcewicz
Partner
Administratorem danych osobowych podanych w formularzu jest JUSTLAW Jastrun Kowalski sp.k. z siedzibą w Warszawie. Dane osobowe podane w formularzu kontaktowym przetwarzane będą w celu udzielenia odpowiedzi na przesłane zapytanie, co stanowi prawnie uzasadniony interes administratora. Masz w szczególności prawo dostępu do swoich danych osobowych, ich usunięcia oraz wniesienia sprzeciwu wobec przetwarzania danych. Szczegółowe informacje na temat przetwarzania danych osobowych oraz przysługujących praw znajdują się w Polityce prywatności.