# Dyrektywa NIS 2: Wprowadzenie i Znaczenie Dyrektywa NIS 2, pełna nazwą Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., jest najlepszą rozszerzeniem pierwotnej dyrektywy NIS, która została wprowadzona w 2016 roku. Jest on ważnym elementem strategii Unii Europejskiej w dziedzinie cyberbezpieczeństwa, reagującym na ewoluujące zagrożenia oraz zmiany sytuacji geopolitycznej, szczególnie w kontekście wojny rosyjsko-ukraińskiej. ## Geneza i Wprowadzenie Dyrektywa NIS 2 jest wynikiem realizacji potrzeby modernizacji przepisów w zakresie cyberbezpieczeństwa. Pierwotna dyrektywa NIS z 2016 roku,-yilda Parlamentu Europejskiego i Rady (UE) 2016/1148, była pierwszym europejskim aktem prawnym w dziedzinie cyberbezpieczeństwa, mającym na celu zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii. Zmistem lat i zmian w świecie cyberbezpieczeństwa, Unia zdecydowała o aktualizacji tych przepisów, introdykcji nowej dyrektywy oznaczanej jako NIS 2. NIS 2 weszła w życie w 2023 roku i jest częścią końcu szerokiej reakcji Unii Europejskiej na wojnę rosyjsko-ukraińską. Rozszerzyła zakres obowiązków dotyczących cyberbezpieczeństwa na nowe sektory i podmioty, zwiększając tym samym odporność i zdolność reagowania na incydenty dla podmiotów publicznych i prywatnych, odpowiednich organów oraz całej Unii. ## Znaczenie Dyrektywy NIS 2 Dyrektywa NIS 2 przynosi duże zmiany w zakresie systemu cyberbezpieczeństwa w Unii Europejskiej. Wprowadza nowe zadania dla państw członkowskich, rozszerza obszar podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa oraz redefiniuje kompetencje organów UE. Jest to zaawansowany mechanizm, który ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE poprzez zapewnienie gotowości państw członkowskich do reagowania na incydenty, promowania współpracy między wszystkimi państwami członkowskimi oraz zwiększania kultury bezpieczeństwa w sektorach, które mają zasadnicze znaczenie dla gospodarki i społeczeństwa. NIS 2 wymaga od państw członkowskich wprowadzenia odpowiednich rozwiązań ustawodawczych, aby zapewnić cyberbezpieczeństwo kluczowym, krytycznym branżom, co oznacza również wzmocnienie całych państw. Od 18 października 2024 roku wszystkie kraje członkowskie UE są zobowiązane do zmiany wewnętrznych przepisów, aby były one zgodne z nową dyrektywą. W Polsce zgodność z NIS 2 ma zostać osiągnięta poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. ## Podział Podmiotów na Kluczowe i Ważne Dyrektywa NIS 2 wprowadza rygorystyczne zasady dla dwóch głównych grup podmiotów: kluczowych i ważnych. Podmioty klasyfikowane jako kluczowe obejmują sektory, które są krytycznymi dla funkcjonowania gospodarki i społeczeństwa, takich jak: - Energetyka - Transport - Bankowość - Infrastruktura rynków finansowych - Opieka zdrowotna - Woda pitna - Ścieki - Infrastruktura cyfrowa - Zarządzanie usługami teleinformatycznymi - Administracja publiczna Za podmioty ważne uznaje się te działające w następujących dziedzinach: - Usługi pocztowe i kurierskie - Zarządzanie odpadami - Produkcja w różnych dziedzinach (m.in. wyroby medyczne, produkty komputerowe, elektroniczne i optyczne, sprzęt elektryczny, maszyny i wyposażenie, pojazdy samochodowe, przyczepy i naczepy oraz inny sprzęt transportowy) - Produkcja i dystrybucja chemikaliów - Produkcja, przetwarzanie i dystrybucja żywności - Dostawców usług cyfrowych ## Środki Zarządzania Ryzykiem w Cyberbezpieczeństwie Jednym z kluczowych aspektów dyrektywy NIS 2 są obowiązki związane z cyberbezpieczeństwem, nakładane na podmioty działające w sektorach krytycznych. Fragen i zadania w tej dziedzinie obejmują wprowadzenie środków technicznych, operacyjnych i organizacyjnych, które mają na celu zarządzanie ryzykiem dla sieci i systemów informatycznych. Państwa członkowskie muszą zapewnić, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki w celu zapobiegania wpływowi incydentów na odbiorców usług lub na inne usługi, bądź minimalizowania takiego wpływu. Wymagania obejmują m.in.: - Politykę analizy ryzyka i bezpieczeństwa systemów informatycznych - Obsługę incydentu - Ciągłość działania, w tym zarządzanie kopiami zapasowymi i przywracanie normalnego działania po sytuacjach nadzwyczajnych - Bezpieczeństwo łańcucha dostaw - Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych - Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie - Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa - Polityki i procedury stosowania kryptografii i szyfrowania - Bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami ## Przypisy Dyrektywa NIS 2 wnosi dezyna do istniejących ram cyberbezpieczeństwa w Unii Europejskiej poprzez następujące punkty kluczowe: 1. Wprowadzenie nowych zadań dla państw członkowskich 2. Rozszerzenie zakresu podmiotów objętych obowiązkami 3. Redefinicję kompetencji organów UE W ramach socjalizacji dyrektywy NIS 2 państwa członkowskie muszą wprowadzić odpowiednie uregulowania prawnicze, aby uklonować się do wymogów dyrektywy. M.in. w Polsce poprzedzające zmiany są oczekiwane poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dyrektywa NIS 2 jest niezwykle ważnym krokem w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej, reagującym na obecne i przyszłe zagrożenia w dziedzinie cyberprzestępczości i geopolityki. Jej wprowadzenie wymaga wspólnych wysiłków wszystkich zaangażowanych stron, aby zapewnić wysoki poziom bezpieczeństwa sieci i systemów informatycznych w całej Unii.