Dyrektywa NIS2 (Dyrektywa UE 2022/2555) jest kluczowym aktem prawnym Unii Europejskiej, który dotyczy zwiększenia poziomu cyberbezpieczeństwa w państwach członkowskich.
Została przyjęta w odpowiedzi na rosnące zagrożenia w sieci oraz na potrzeby ochrony infrastruktury krytycznej, systemów ICT (Information and Communication Technology) i danych wrażliwych.
Co obejmuje dyrektywa NIS2 i jakie nakłada obowiązki?
Wzrost odpowiedzialności sektora prywatnego i publicznego
- NIS2 rozszerza zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa, w tym nie tylko operatorów infrastruktury krytycznej, ale także dostawców usług cyfrowych, jak platformy chmurowe, centra danych, a także dostawcy usług DNS.
- Firmy muszą wdrożyć odpowiednie środki ochrony, monitorować ryzyka oraz odpowiadać na incydenty.
Zwiększone wymagania w zakresie zarządzania ryzykiem
- Organizacje są zobowiązane do przeprowadzania ocen ryzyka dotyczącego swoich systemów IT i podejmowania działań w celu minimalizacji tych ryzyk.
- Działania te obejmują m.in. wdrażanie polityk bezpieczeństwa, zarządzanie incydentami, zabezpieczanie łańcuchów dostaw oraz stosowanie narzędzi wykrywania zagrożeń.
Obowiązki w zakresie raportowania incydentów
- Podmioty objęte dyrektywą NIS2 są zobowiązane do natychmiastowego zgłaszania incydentów cyberbezpieczeństwa, które mają poważny wpływ na świadczenie ich usług.
- Czas na zgłoszenie incydentu to 24 godziny w przypadku poważniejszych zagrożeń.
- Każdy incydent powinien być szczegółowo analizowany, a organizacja powinna wdrożyć środki zapobiegawcze w celu ochrony przed przyszłymi atakami.
Wzrost współpracy międzynarodowej i krajowej
- Dyrektywa NIS2 promuje współpracę między państwami członkowskimi UE w zakresie wymiany informacji na temat zagrożeń i incydentów.
- Wprowadzono mechanizmy wzajemnego wspierania się, szczególnie w obliczu transgranicznych cyberataków.
- W ramach krajowych punktów kontaktowych państwa członkowskie mają obowiązek zapewnienia efektywnej wymiany informacji na temat zagrożeń i najlepszych praktyk.
Wymogi dotyczące łańcuchów dostaw
- NIS2 kładzie duży nacisk na bezpieczeństwo łańcuchów dostaw. Wymaga od organizacji monitorowania i oceny ryzyk związanych z dostawcami i podwykonawcami, zwłaszcza w odniesieniu do dostawców usług IT i infrastruktury krytycznej.
Ochrona danych osobowych
- Dyrektywa ma na celu zwiększenie ochrony danych osobowych przetwarzanych w systemach informacyjnych i zwiększenie zgodności z RODO (GDPR), nakładając dodatkowe wymagania na organizacje, aby zapewnić odpowiednią ochronę danych w przypadku cyberincydentów.
Audyt i kontrole
- Państwa członkowskie UE będą musiały zapewnić skuteczne mechanizmy audytu i kontroli przestrzegania wymogów dyrektywy, w tym przeprowadzanie okresowych ocen, testów i audytów bezpieczeństwa.
Kultura cyberbezpieczeństwa i szkolenia
- Dyrektywa podkreśla konieczność rozwijania kultury cyberbezpieczeństwa w organizacjach. Zawiera wytyczne dotyczące szkoleń, zwiększania świadomości pracowników oraz dostosowywania działań do zmieniających się zagrożeń.
Bezpieczeństwo sieci i systemów
- Wymaga stosowania odpowiednich środków ochrony na poziomie technicznym i organizacyjnym, w tym w zakresie bezpieczeństwa sieci, systemów komputerowych i aplikacji.
Kogo dotyczy dyrektywa NIS2?
Dyrektywa NIS2 nie dotyczy wszystkich sektorów gospodarki, ale obejmuje znacznie szerszy zakres niż jej poprzedniczka (NIS1).
Skupia się głównie na tych sektorach, które mają kluczowe znaczenie dla funkcjonowania społeczeństwa i gospodarki, ale rozszerza listę podmiotów zobowiązanych do przestrzegania zasad cyberbezpieczeństwa.
Podmioty działające w tzw. sektorach kluczowych i ważnych, które zostały określone w załącznikach do dyrektywy.
Są to:
Sektory kluczowe
Podmioty w tych sektorach mają większe znaczenie strategiczne, a ich działalność jest kluczowa dla funkcjonowania państwa. Zaliczają się do nich m.in.:
- Energetyka – energia elektryczna, gaz, ropa, odnawialne źródła energii
- Transport – lotniczy, kolejowy, morski, drogowy
- Bankowość
- Infrastruktura rynków finansowych
- Ochrona zdrowia – szpitale, laboratoria, producenci leków
- Wodociągi – dostawa i uzdatnianie wody pitnej
- Infrastruktura cyfrowa – m.in. centra danych, dostawcy DNS, rejestry domen
- Administracja publiczna – władze centralne i lokalne
Sektory ważne
Podmioty z tych sektorów również podlegają dyrektywie, ale zakres nadzoru nad nimi może być mniej rygorystyczny:
- Poczta i usługi kurierskie
- Zarządzanie odpadami
- Przemysł spożywczy
- Produkcja (m.in. sprzętów elektronicznych, pojazdów, maszyn)
- Usługi cyfrowe – platformy handlu elektronicznego, usługi chmurowe, wyszukiwarki internetowe, platformy społecznościowe
Kogo NIE dotyczy dyrektywa NIS2?
- Małe i mikroprzedsiębiorstwa (poniżej 50 pracowników i roczny obrót < 10 mln euro), chyba że działają w obszarze o szczególnym znaczeniu (np. są podwykonawcą dla infrastruktury krytycznej).
- Firmy działające poza zdefiniowanymi sektorami, które nie mają wpływu na bezpieczeństwo publiczne, gospodarcze lub zdrowotne.
Kluczowy punkt
NIS2 nie jest pełną uniwersalną regulacja dla całej gospodarki, ale NIS2 obejmuje wiele sektorów i typów działalności, które wcześniej były poza radarami cyberregulacji – dlatego dla wielu firm będzie to pierwszy raz, kiedy podlegać będą obowiązkom z zakresu cyberbezpieczeństwa.
Czy Podwykonawca zajmujący się usługami z zakresu systemów sterowania i automatyki przemysłowej będzie podlegał pod NIS2?
Podwykonawcy i NIS2 – co mówi dyrektywa?
NIS2 wprowadza duży nacisk na bezpieczeństwo łańcucha dostaw, zwłaszcza w sektorach kluczowych i ważnych (np. energetyka, przemysł, produkcja, infrastruktura cyfrowa).
Oznacza to, że:
- Podmioty zobowiązane (np. operatorzy infrastruktury) muszą zarządzać ryzykiem pochodzącym od swoich dostawców i podwykonawców.
- Jeśli podwykonawca ma istotny wpływ na działanie systemów informatycznych, systemów OT (Operational Technology) lub systemów sterowania przemysłowego (ICS/SCADA) – musi spełniać wymagania cyberbezpieczeństwa!
Przykład zastosowania:
Jeśli Twoja firma zajmuje się wdrażaniem, serwisem lub integracją:
- systemów automatyki przemysłowej (np. PLC, SCADA, DCS),
- infrastruktury OT w zakładach produkcyjnych,
- systemów zdalnego sterowania lub monitorowania,
- lub integracją IT/OT w zakładzie klienta,
…a Twoim klientem jest np. firma z sektora energetycznego, chemicznego, wodociągowego lub transportu – to Twoja firma prawdopodobnie będzie objęta pośrednio lub bezpośrednio zakresem NIS2.
Co to oznacza w praktyce?
- Twoja firma może być audytowana przez klientów w ramach ich obowiązków NIS2.
- Musisz mieć udokumentowane procedury zarządzania cyberbezpieczeństwem, m.in. politykę bezpieczeństwa, ocenę ryzyk, plan reakcji na incydenty.
- Możesz zostać uznany za „ważny podmiot”, jeśli Twoja rola w łańcuchu dostaw ma krytyczne znaczenie (np. integrujesz systemy sterowania w elektrowni lub rafinerii).
Jak się przygotować?
- Rejestr aktywów IT/OT i ocena ryzyk
- Procedury aktualizacji i zarządzania lukami bezpieczeństwa
- System zarządzania incydentami
- Szkolenia z cyberbezpieczeństwa
- Umowy z klientami uwzględniające wymogi NIS2
Co jeśli Podwykonawca zatrudnia powyżej 50 osób, realizuje obroty powyżej 10 mln EUR i świadczy usługi dla sektora kluczowego lub ważnego?
Będzie najprawdopodobniej objęty dyrektywą NIS2…..
……….i to z kilku powodów:
Dlaczego Podwykonawca podlega NIS2?
Wielkość przedsiębiorstwa
Zatrudnienie: powyżej 50 osób
Obrót: ponad 10 mln EUR
→ Firma przekracza próg średniego przedsiębiorstwa wg dyrektywy (≥50 pracowników lub ≥10 mln EUR obrotu).
Zakres działalności – krytyczne sektory
Firma działa w sektorach objętych NIS2:
- Energetyka, wod-kan, chemia, petrochemia → sektory kluczowe
- Spożywczy → sektor ważny
- Zbrojeniowy → choć nie wymieniony bezpośrednio w NIS2, może zostać objęty przez krajowe przepisy ze względu na bezpieczeństwo narodowe.
Charakter usług
Firma wdraża i utrzymuje systemy SCADA/DCS, czyli technologie OT, które mają bezpośredni wpływ na ciągłość i bezpieczeństwo operacyjne u operatorów infrastruktury krytycznej.
→ To czyni z Podwykonawcy element kluczowego łańcucha dostaw
……a zgodnie z NIS2:
„Państwa członkowskie zapewniają, że podmioty […] oceniają ryzyka wynikające z relacji z podmiotami trzecimi, w tym dostawcami technologii ICT i OT.”
Jakie działania będzie musiał wdrożyć Podwykonawca?
- Polityki bezpieczeństwa (IT i OT)
- Analiza i zarządzanie ryzykiem
- Zarządzanie podatnościami
- Kontrola dostępu (w tym konta uprzywilejowane)
- Szyfrowanie i kopie zapasowe
- Rejestracja i klasyfikacja incydentów
- Procedury zgłaszania poważnych incydentów do CSIRT
- Czas reakcji: do 24 godzin od wykrycia poważnego incydentu
- Ocena bezpieczeństwa u podwykonawców (jeśli są)
- Klauzule cyberbezpieczeństwa w umowach
- Współpraca z klientami objętymi NIS2 (audyty, testy, raportowanie)
- Szkolenia dla personelu technicznego i administracyjnego
- Symulacje cyberataków / ćwiczenia reagowania
- SIEM, IDS/IPS (dla systemów IT i OT)
- Rejestry zdarzeń i analiza logów
- Plany awaryjne i odtwarzania
- Testy odporności systemów
- Dokumentacja zgodności z NIS2
- Gotowość na kontrolę przez krajowy organ nadzoru
Co warto zrobić już teraz?
- Zidentyfikować swoje systemy i procesy pod kątem NIS2
- Powołać zespół ds. zgodności z dyrektywą
- Przeprowadzić audyt bezpieczeństwa OT i IT
- Zacząć tworzyć dokumentację polityk i procedur
- Skontaktować się z Klientami – zapytać, jak wdrażają NIS2 i czy będą wymagać zgodności od dostawców / podwykonawców
Dla łatwiejszej identyfikacji podstawowych potrzeb i czynności
- Checklista wdrożeniowa dla Podwykonawcy – zgodność z NIS2
- Organizacja i zarządzanie bezpieczeństwem
- Powołanie pełnomocnika ds. cyberbezpieczeństwa / zespołu ds. NIS2
- Stworzenie i zatwierdzenie polityki cyberbezpieczeństwa (IT i OT)
- Wdrożenie systemu zarządzania ryzykiem (identyfikacja zagrożeń, ocena skutków)
- Mapa procesów i systemów krytycznych (IT/OT)
- Środki techniczne i organizacyjne
- Wdrożone systemy detekcji zagrożeń (IDS/IPS) – zwłaszcza w warstwie OT
- Segmentacja sieci IT/OT
- Zabezpieczenie punktów dostępu (VPN, MFA, zarządzanie kontami)
- Kontrola aktualizacji oprogramowania i patch management
- Rejestrowanie i analiza logów (syslog, SIEM)
- Obsługa incydentów
- Procedura zgłaszania incydentów (wewnętrzna i do CSIRT)
- Plan reagowania na incydenty (IRP)
- Wewnętrzna klasyfikacja incydentów (poważne, krytyczne, drobne)
- Testy procedur – np. symulacje ataków
- Bezpieczeństwo łańcucha dostaw
- Przegląd i ocena dostawców (IT/OT) pod kątem cyberbezpieczeństwa
- Klauzule NIS2 w umowach z partnerami
- Weryfikacja, czy podwykonawcy spełniają minimalne standardy
- Szkolenia i świadomość
- Szkolenia wstępne i cykliczne z cyberbezpieczeństwa dla pracowników
- Szkolenia specjalistyczne dla administratorów i integratorów OT
- Komunikaty o nowych zagrożeniach i phishingu
- Ciągłość działania i odporność
- Plan ciągłości działania i odtwarzania po awarii
- Kopie zapasowe – testowane i zabezpieczone
- Analiza skutków przestoju w obszarach przemysłowych (np. SCADA)
- Dokumentacja i audyty
- Rejestr aktywów (IT i OT)
- Dokumentacja wszystkich polityk i procedur
- Gotowość do kontroli ze strony krajowego organu nadzoru
- Harmonogram przeglądów bezpieczeństwa (wewnętrzne audyty)
Podsumowanie
Dyrektywa NIS2 nakłada nowe obowiązki w zakresie cyberbezpieczeństwa na wiele firm z sektorów kluczowych i ważnych dla gospodarki – w tym także na dostawców rozwiązań automatyki przemysłowej.
Oznacza to konieczność wdrożenia polityk bezpieczeństwa, zarządzania ryzykiem, monitorowania incydentów oraz weryfikacji bezpieczeństwa podwykonawców.
Firmy muszą wykazać aktywne podejście do ochrony systemów IT i OT, nie tylko dla własnego bezpieczeństwa, ale także w trosce o łańcuch dostaw i klientów.
Jeśli Twoja firma działa w sektorach objętych NIS2 – nie czekaj!
Zacznij od audytu bezpieczeństwa, opracuj politykę, wdrażaj procedury i zadbaj o zgodność z nowym prawem. Chcesz wiedzieć, od czego zacząć? Skontaktuj się – pomożemy Ci przełożyć wymagania NIS2 na konkretne działania w Twojej organizacji.
