Dla Ciebie na pewno tak, ale czy dla potrzeb Dyrektywy NIS 2 również? Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2), ma zostać wdrożona w państwach członkowskich UE do 17 października 2024 r. Jej celem jest zwiększenie bezpieczeństwa sieci i systemów informacyjnych w Europie. Dyrektywa ta zastępuje wcześniejszą dyrektywę NIS i wprowadza szereg nowych obowiązków oraz rozszerza krąg podmiotów zobowiązanych do jej stosowania. Może i Twoja firma jest podmiotem ważnym albo kluczowym i musisz zrobić porządek z bezpieczeństwem cyfrowym? Odpowiedź znajdziesz w artykule.
Kogo obejmuje dyrektywa NIS 2?
Dyrektywa NIS 2 (ang. Network and Information Security Directive 2 – dalej NIS 2) dotyczy szerokiej grupy podmiotów, które działają w różnych sektorach i są istotne dla funkcjonowania społeczeństwa oraz gospodarki. Wprowadza podział na podmioty kluczowe (essential) i podmioty ważne (important), w zależności od ich wielkości oraz znaczenia dla bezpieczeństwa sieci i systemów informacyjnych. Ich obowiązki są niemal takie same, prawdopodobnie jednak (zgodnie z projektem ustawy nowelizującej procedowanym na szczeblu rządowym), inne będą podmioty nadzorujące ich realizację.
Czy jesteś kluczowy?
„Kluczowe”, w rozumieniu Dyrektywy NIS 2, są firmy i organizacje, które świadczą usługi najistotniejsze. Kluczowym może być wyłącznie duży podmiot, to jest ten, który:
• Zatrudnia co najmniej 250 osób.
• Ma roczny obrót przekraczający 50 milionów euro i/lub sumę bilansową przekraczającą 43 miliony euro.
Jeśli zatem spełniasz kryteria zatrudnienia i obrotu, sprawdź jeszcze, czy należysz do sektora lub branży kluczowej objętej obowiązkami z Dyrektywy NIS 2:
• Energetyka: firmy zajmujące się produkcją i dystrybucją energii elektrycznej, gazu oraz ropy.
• Transport: przedsiębiorstwa transportowe, w tym lotniska, porty, linie kolejowe oraz drogowi operatorzy transportowi.
• Finanse: banki i inne instytucje finansowe.
• Zdrowie: szpitale i inne placówki ochrony zdrowia.
• Woda i ścieki: przedsiębiorstwa wodociągowe i kanalizacyjne.
• Infrastruktura cyfrowa: operatorzy centrów danych, dostawcy usług chmurowych oraz inne firmy zarządzające infrastrukturą teleinformatyczną.
• Administracja publiczna: podmioty administracji rządowej i samorządowej wskazane w ustawie.
… a może ważny?
„Ważne”, w rozumieniu Dyrektywy NIS 2, są podmioty średnie, czyli te, które:
• Zatrudniają od 50 do 249 osób.
• Mają roczny obrót od 10 do 50 milionów euro i/lub sumę bilansową od 10 do 43 milionów euro.
Jeśli zatem jesteś podmiotem średnim i działasz w branży kluczowej albo w jednej z poniższych branż istotnych, to masz obowiązek dostosowania się do wymogów dyrektywy w zakresie cyberbezpieczeństwa:
• Poczta i kurierzy: podmioty świadczące usługi pocztowe i kurierskie.
• Odpady: podmioty zajmujące się zarządzaniem odpadami, w tym ich zbieraniem, transportem, przetwarzaniem i unieszkodliwianiem.
• Żywność: przedsiębiorstwa działające w sektorze produkcji i dystrybucji żywności.
• Chemikalia: firmy zajmujące się produkcją i dystrybucją substancji chemicznych.
• Produkcja:
o wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
o komputerów, wyrobów elektronicznych i optycznych,
o urządzeń elektrycznych, innych maszyn i urządzeń,
o pojazdów samochodowych, przyczep i naczep oraz pozostałego sprzętu transportowego.
• Dostawcy usług cyfrowych: internetowych platform handlowych, wyszukiwarek internetowych, platform usług sieci społecznościowych.
• Badania naukowe: organizacje naukowo-badawcze.
Podmioty podlegające dyrektywie NIS 2, mają obowiązek podjąć szereg działań mających na celu zwiększenie bezpieczeństwa ich sieci i systemów informacyjnych.
Jeśli zatem jesteś duży lub średni i działasz we wskazanych branżach – jesteś kluczowy/ważny, dla gospodarki oraz dla społeczeństwa.
Zła wiadomość jest taka, że na dostosowanie do wymogów dyrektywy pozostało już mniej niż 3 miesiące…
Małgorzata Woźniak, adwokat, Partner w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy Adwokaci i Radcowie Prawni.