Dyrektywa NIS 2 (pełna nazwa: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148) – dyrektywa unijna mająca na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Skrót NIS pochodzi od angielskich słów network and information systems. == Geneza i wprowadzenie == Dyrektywa NIS, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii była pierwszym europejskim aktem prawnym w zakresie cyberbezpieczeństwa. Jej głównym celem było zapewnienie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii Europejskiej. Z biegiem lat ewolucja zagrożeń cyberbezpieczeństwa oraz sytuacja geopolityczna skłoniły Unię do aktualizacji przepisów. Nowa wersja dyrektywy, nazwana NIS 2, weszła w życie w 2023 r. i była jednym z elementów reakcji Unii Europejskiej na wojnę rosyjsko-ukraińską. Rozszerzając zakres przepisów dotyczących cyberbezpieczeństwa na nowe sektory i podmioty, ma zwiększyć odporność i zdolność reagowania na incydenty podmiotów publicznych i prywatnych, właściwych organów i całej UE. NIS 2 wymaga wprowadzenia odpowiednich rozwiązań ustawodawczych w celu zapewnienia cyberbezpieczeństwa kluczowym, krytycznym branżom, a tym samym również całym państwom. Od 18 października 2024 r. wszystkie kraje członkowskie Unii Europejskiej są zobowiązane do zmiany wewnętrznych przepisów w taki sposób, żeby były zgodne z nową dyrektywą. W Polsce zgodność z NIS 2 ma zostać osiągnięte poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. == Znaczenie == Dyrektywa NIS 2 przekształca dotychczasowe ramy systemu cyberbezpieczeństwa w Unii Europejskiej. Wprowadza m.in. nowe zadania dla państw członkowskich, rozszerza zakres podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa oraz redefiniuje kompetencje organów UE. NIS 2 przewiduje środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE poprzez zapewnienie gotowości państw członkowskich do reagowania na incydenty, kooperacji między wszystkimi państwami członkowskimi poprzez utworzenie grupy współpracy oraz zwiększenie kultury bezpieczeństwa w sektorach, które mają zasadnicze znaczenie dla gospodarki i społeczeństwa, takich jak energia, transport, woda, bankowość, infrastruktura rynku finansowego, opieka zdrowotna i infrastruktura cyfrowa. W praktyce oznacza to, że tysiące podmiotów prywatnych oraz publicznych będzie zobowiązanych do spełnienia szeregu nowych wymagań z zakresu cyberbezpieczeństwa. Bardziej rygorystyczne zasady obejmą m.in. usługi transportowe, energetykę czy sektor finansowy. == Podział podmiotów == Dyrektywa NIS2 wprowadza jednakowe obowiązki dla dwóch głównych grup: podmiotów kluczowych i ważnych. W poprzedniej wersji dyrektywy obowiązki operatorów usług kluczowych oraz dostawców usług cyfrowych różniły się między sobą. Według NIS2 za podmioty kluczowe są uznawane podmioty z następujących sektorów: energetyka, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami teleinformatycznymi, administracja publiczna. Do podmiotów ważnych zalicza się: usługi pocztowe i kurierskie, zarządzanie odpadami, produkcja (w tym wyroby medyczne, produkty komputerowe, elektroniczne i optyczne, sprzęt elektryczny, maszyny i wyposażenie, pojazdy samochodowe, przyczepy i naczepy oraz inny sprzęt transportowy), produkcja i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, dostawców usług cyfrowych. Podmioty kluczowe i ważne różnią się poziomem nadzoru, tym, w jaki sposób są egzekwowane wymagania z zakresu cyberbezpieczeństwa, oraz wysokością ewentualnych kar. Podmiot kluczowy za naruszenie wymagań dyrektywy NIS2 może ponieść karę pieniężną w maksymalnej wysokości 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Maksymalna kara, którą można nałożyć na podmiot ważny, wynosi 7 mln euro lub 1,4 % obrotu. == Środki zarządzania ryzykiem w cyberbezpieczeństwie == Jednym z kluczowych aspektów dyrektywy NIS 2 są obowiązki związane z cyberbezpieczeństwem, nakładane na podmioty działające w sektorach krytycznych. Państwa członkowskie mają zapewnić, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Wymienione środki bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Obejmują co najmniej następujące elementy: politykę analizy ryzyka i bezpieczeństwa systemów informatycznych obsługę incydentu ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych. == Przypisy ==