Baza wiedzy

2024-10-02

NIS 2: czy Twoja firma jest ważna? A może kluczowa?

Dla Ciebie na pewno tak, ale czy dla potrzeb Dyrektywy NIS 2 również? Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2), ma zostać wdrożona w państwach członkowskich UE do 17 października 2024 r. Jej celem jest zwiększenie bezpieczeństwa sieci i systemów informacyjnych w Europie. Dyrektywa ta zastępuje wcześniejszą dyrektywę NIS i wprowadza szereg nowych obowiązków oraz rozszerza krąg podmiotów zobowiązanych do jej stosowania. Może i Twoja firma jest podmiotem ważnym albo kluczowym i musisz zrobić porządek z bezpieczeństwem cyfrowym? Odpowiedź znajdziesz w artykule.


Kogo obejmuje dyrektywa NIS 2?

Dyrektywa NIS 2 (ang. Network and Information Security Directive 2 – dalej NIS 2) dotyczy szerokiej grupy podmiotów, które działają w różnych sektorach i są istotne dla funkcjonowania społeczeństwa oraz gospodarki. Wprowadza podział na podmioty kluczowe (essential) i podmioty ważne (important), w zależności od ich wielkości oraz znaczenia dla bezpieczeństwa sieci i systemów informacyjnych. Ich obowiązki są niemal takie same, prawdopodobnie jednak (zgodnie z projektem ustawy nowelizującej procedowanym na szczeblu rządowym), inne będą podmioty nadzorujące ich realizację.


Czy jesteś kluczowy?

„Kluczowe”, w rozumieniu Dyrektywy NIS 2, są firmy i organizacje, które świadczą usługi najistotniejsze. Kluczowym może być wyłącznie duży podmiot, to jest ten, który:
•    Zatrudnia co najmniej 250 osób.
•    Ma roczny obrót przekraczający 50 milionów euro i/lub sumę bilansową przekraczającą 43 miliony euro.

Jeśli zatem spełniasz kryteria zatrudnienia i obrotu, sprawdź jeszcze, czy należysz do sektora lub branży kluczowej objętej obowiązkami z Dyrektywy NIS 2:
•    Energetyka: firmy zajmujące się produkcją i dystrybucją energii elektrycznej, gazu oraz ropy.
•    Transport: przedsiębiorstwa transportowe, w tym lotniska, porty, linie kolejowe oraz drogowi operatorzy transportowi.
•    Finanse: banki i inne instytucje finansowe.
•    Zdrowie: szpitale i inne placówki ochrony zdrowia.
•    Woda i ścieki: przedsiębiorstwa wodociągowe i kanalizacyjne.
•    Infrastruktura cyfrowa: operatorzy centrów danych, dostawcy usług chmurowych oraz inne firmy zarządzające infrastrukturą teleinformatyczną.
•    Administracja publiczna: podmioty administracji rządowej i samorządowej wskazane w ustawie.
… a może ważny? 
„Ważne”, w rozumieniu Dyrektywy NIS 2, są podmioty średnie, czyli te, które:
•    Zatrudniają od 50 do 249 osób.
•    Mają roczny obrót od 10 do 50 milionów euro i/lub sumę bilansową od 10 do 43 milionów euro.
Jeśli zatem jesteś podmiotem średnim i działasz w branży kluczowej albo w jednej z poniższych branż istotnych, to masz obowiązek dostosowania się do wymogów dyrektywy w zakresie cyberbezpieczeństwa:
•    Poczta i kurierzy: podmioty świadczące usługi pocztowe i kurierskie.
•    Odpady: podmioty zajmujące się zarządzaniem odpadami, w tym ich zbieraniem, transportem, przetwarzaniem i unieszkodliwianiem.
•    Żywność: przedsiębiorstwa działające w sektorze produkcji i dystrybucji żywności.
•    Chemikalia: firmy zajmujące się produkcją i dystrybucją substancji chemicznych.
•    Produkcja: 
o    wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
o    komputerów, wyrobów elektronicznych i optycznych,
o    urządzeń elektrycznych, innych maszyn i urządzeń,
o    pojazdów samochodowych, przyczep i naczep oraz pozostałego sprzętu transportowego.
•    Dostawcy usług cyfrowych: internetowych platform handlowych, wyszukiwarek internetowych, platform usług sieci społecznościowych.
•    Badania naukowe: organizacje naukowo-badawcze.

Podmioty podlegające dyrektywie NIS 2, mają obowiązek podjąć szereg działań mających na celu zwiększenie bezpieczeństwa ich sieci i systemów informacyjnych.

Jeśli zatem jesteś  duży lub średni i działasz we wskazanych branżach – jesteś kluczowy/ważny, dla gospodarki oraz dla społeczeństwa.

Zła wiadomość jest taka, że na dostosowanie do wymogów dyrektywy pozostało już mniej niż 3 miesiące…


Małgorzata Woźniak, adwokat, Partner w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy Adwokaci i Radcowie Prawni.