Nowe standardy ochrony IT w biznesie – skutki wdrożenia dyrektywy NIS2

W odpowiedzi na narastające zagrożenia cyberbezpieczeństwa, które obejmują zarówno krytyczne systemy państwowe, jak i nowoczesne usługi cyfrowe, Unia Europejska przyjęła w 2024 r. dyrektywę (UE) 2022/2555 – NIS2, której celem jest podniesienie odporności systemów informacyjnych w kluczowych obszarach gospodarki i administracji. Dyrektywa NIS2 nakłada na państwa członkowskie obowiązek ustanowienia obowiązków cyberbezpieczeństwa, obejmujących m.in. zarządzanie ryzykiem cybernetycznym, środki ochrony technicznej i obowiązki raportowania incydentów (art. 1, 20–23 NIS2).

Nowe przepisy

W Polsce implementację NIS2 ma zapewnić nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – KSC. Projekt nowelizacji został uchwalony przez Sejm 23 stycznia 2026 r. i obecnie znajduje się w procedurze senackiej, zatem w najbliższych miesiącach można spodziewać się jej wejścia w życie.

Nowelizacja KSC znacząco rozszerza zakres podmiotów objętych regulacją. Obowiązki obejmą podmioty działające w sektorach, które NIS2 określa jako kluczowe lub istotne dla bezpieczeństwa i funkcjonowania państwa, w tym sektor energetyczny (np. produkcja, przesył i dystrybucja energii), transport (kolej, lotnictwo, porty, istotne drogi), zdrowie (szpitale, laboratoria, dostawcy usług medycznych), sektor finansowy i bankowy, usługi cyfrowe (dostawcy chmur, operatorzy infrastruktury ICT), gospodarka wodna i kanalizacyjna oraz infrastruktura ICT, włączając centra danych i systemy zarządzania ruchem. W praktyce oznacza to, że średnie i duże przedsiębiorstwa działające w tych sektorach muszą przygotować się do realizacji obowiązków określonych w NIS2.

Pierwszy krok

Po wejściu w życie nowelizacji KSC przedsiębiorca musi najpierw dokonać we własnym zakresie formalnej klasyfikacji statusu podmiotu. Zgodnie z art. 3 NIS2 oraz projektowanymi przepisami KSC podmioty są dzielone na kluczowe i ważne na podstawie m.in. sektora działalności, wpływu na funkcjonowanie państwa, liczby zatrudnionych i obrotów. Brak dokonania tej oceny i następnie zgłoszenia podmiotu do odpowiedniego CSIRT (Computer Security Incident Response Team) skutkować będzie naruszeniem obowiązków ustawowych.

Najważniejszym i pierwszym obowiązkiem przedsiębiorcy po dokonaniu autoklasyfikacji jako podmiot zobowiązany pod NIS2 i KSC jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), który zgodnie z art. 21 NIS2 i nowelizacją KSC musi obejmować pełne zarządzanie ryzykiem cybernetycznym. SZBI to nie pojedyncza polityka, lecz kompleksowy i udokumentowany zbiór procesów, procedur i dokumentów służących identyfikacji zagrożeń, ocenie ryzyka, wdrożeniu środków ochrony, reagowaniu na incydenty oraz zapewnieniu ciągłości działania systemów. W praktyce przedsiębiorstwo musi zaplanować, wdrożyć i utrzymywać SZBI jako proces ciągły, wraz z aktualizacjami adekwatnymi do zmieniających się zagrożeń i technologii.

Techniczne zabezpieczenia

W ramach SZBI przedsiębiorstwo będzie zobowiązane wdrożyć konkretne środki techniczne i organizacyjne adekwatne do poziomu ryzyka, jakim objęte są jego systemy i usługi. NIS2 i projekty KSC zakładają, że takie środki obejmują m.in. kontrolę dostępu, uwierzytelnianie wieloskładnikowe, szyfrowanie danych w spoczynku i w tranzycie, monitoring systemów i wykrywanie anomalii, zarządzanie podatnościami oraz regularne aktualizacje i patchowanie oprogramowania (tzw. łatki w celu poprawy działania systemu lub poprawy jego błędów), segmentację sieci, mechanizmy tworzenia kopii zapasowych i procedury odtwarzania danych. W projekcie KSC termin wdrożenia tych środków został określony jako maksymalnie 12 miesięcy od daty wejścia w życie nowelizacji.

Kluczowym obowiązkiem operacyjnym jest zgłaszanie istotnych incydentów cyberbezpieczeństwa do zespołów reagowania (CSIRT) lub właściwych organów. Art. 23 NIS2 wyraźnie wskazuje, że tego typu zgłoszenia muszą być dokonywane bez zbędnej zwłoki, a w praktyce interpretowane jako wstępne zgłoszenie w ciągu 24 godzin od wykrycia incydentu oraz przekazanie pełnego raportu w terminie do 72 godzin, przy czym sprawozdanie końcowe z obsługi incydentu poważnego winno zostać przekazane w terminie do jednego miesiąca. Taki harmonogram ma kluczowe znaczenie dla szybkiej reakcji państwa i bezpieczeństwa pozostałych podmiotów na rynku, co zwiększa odporność całego ekosystemu na zagrożenia cyberbezpieczeństwa.

Regularny audyt

Nowelizacja KSC przewiduje również obowiązek regularnych audytów i testów penetracyjnych, które pozwalają przedsiębiorstwom i organom nadzorczym zweryfikować, czy SZBI i środki techniczne działają efektywnie. Projekty wykonawcze NIS2 zakładają, że pierwszy audyt powinien zostać przeprowadzony w przypadku podmiotu kluczowego do 24 miesięcy od ustalenia swojej klasyfikacji, a następnie w regularnych odstępach, zgodnie z harmonogramem określonym w rozporządzeniach wykonawczych.

Zgodnie z art. 20 ust. 2 dyrektywy (UE) 2022/2555 – NIS2 państwa członkowskie muszą zapewnić, by członkowie organów kierowniczych podmiotów kluczowych i ważnych odbywali odpowiednie szkolenia z zakresu cyberbezpieczeństwa, co ma zapewnić im wiedzę i umiejętności do identyfikacji ryzyk i oceny praktyk zarządzania ryzykiem. Dyrektywa dodatkowo zachęca podmioty do oferowania podobnych szkoleń swoim pracownikom.

Nowelizacja KSC oraz NIS2 zahaczają również o obowiązki w zakresie weryfikacji kontrahentów z łańcucha dostaw w celu uniknięcia ryzyk w zakresie cyberbezpieczeństwa wynikłych z korzystania z usług zewnętrznych. W efekcie, mimo że zarówno NIS2, jak i nowelizacja KSC dotyczą zasadniczo podmiotów z wymienionych wyżej sektorów, głównie o znaczeniu strategicznym, to konieczność zachowania wymogów ustawy może w efekcie wygenerować obowiązki również dla podwykonawców i kontrahentów podmiotów o powyższym znaczeniu.