Dyrektywa NIS2 i polskie regulacje cyberbezpieczeństwa – nowe standardy ochrony

Technologia jako nieodłączny element współczesnego świata zapewnia niesamowite możliwości, jednocześnie tworząc nową przestrzeń do działań przestępczych. Ataki hackerskie, oszustwa online, wymuszenia czy kradzieże danych stały się tak częste, że wielu ludzi zaczyna traktować je jako nieodłączny element współczesnego życia. Cyberataki zdarzają się częściej, niż mogłoby się wydawać. Wskazuje się, że co piąty polski pracownik padł ofiarą cyberataku w miejscu pracy, co trzeci ma taką osobę w kręgu swoich znajomych lub w rodzinie, a jedynie co trzecia firma przeprowadza regularne testy bezpieczeństwa teleinformatycznego[1]. Rosnące zagrożenia – coraz bardziej wyrafinowane oraz zaawansowane technicznie – stawiają przed firmami nowe wyzwania.

Cyberbezpieczeństwo w UE

Problem wzrostu zagrożeń w przestrzeni cyfrowej został dostrzeżony w Unii Europejskiej. W grudniu 2022 roku została przyjęta Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, zwana również dyrektywą NIS2[2], która ma na celu „zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, złagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa”[3]. NIS2 weszła w życie 18 października 2024 r., a wraz z jej wejściem w życie uchylona została dyrektywa NIS1.

Nowa dyrektywa rozszerza zakres podmiotowy dotychczas stosowanej dyrektywy NIS1[4] m.in. o administrację publiczną (z wyjątkami), zarządzanie usługami ICT (technologiami informacyjno-komunikacyjnymi), usługi pocztowe i kurierskie, przemysł spożywczy, ścieki, gospodarowanie odpadami, produkcję, badania naukowe i przestrzeń kosmiczną, szerzej traktuje niektóre uprzednio ujęte w NIS1 sektory oraz kwalifikuje przedsiębiorców z punktu widzenia cyberbezpieczeństwa na podmioty „kluczowe” oraz „ważne” (wskazane odpowiednio w załączniku 1 i 2 do dyrektywy). Tym samym aktualność utraciły funkcjonujące na gruncie dyrektywy NIS1 pojęcia „operatorów usług kluczowych” i „dostawców usług cyfrowych”. Na podmioty kluczowe i ważne nałożono liczne obowiązki z zakresu utrzymania bezpieczeństwa cyfrowego, które powinny być realizowane w zależności od specyfiki działalności danej firmy.

Istotną nowością jest wprowadzenie tzw. mechanizmu samoidentyfikacji. To na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy wielkość przedsiębiorstwa oraz przedmiot jego działalności powodują, że podlega przepisom dyrektywy NIS2 oraz – po pozytywnym wyniku takiej analizy, następczy obowiązek rejestracji w rejestrze podmiotów kluczowych i ważnych prowadzonym przez właściwe organy.

Ponadto, na podmioty objęte dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w zakresie zapewnienia cyberbezpieczeństwa, a w szczególności w zakresie:

• zarządzania ryzykiem i wdrożenia odpowiednich środków technicznych i organizacyjnych,
• opracowania i wdrożenia polityk zarządzania bezpieczeństwem informacji,
• zapewnienia organizacji wysokiego poziomu odporności systemów informatycznych na ataki,
• raportowania incydentów bezpieczeństwa.

Wykonywanie tych obowiązków przyjmie formę m.in.

• obsługi incydentów uderzających w cyberbezpieczeństwo i współpracy z odpowiednim CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego),
• zarządzania kryzysowego i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej,
• zapewnienia bezpieczeństwa łańcucha dostaw,
• testowania poziomu cyberbezpieczeństwa organizacji,
• efektywnego wykorzystania szyfrowania,
• prowadzenia szkoleń w zakresie cyberbezpieczeństwa.

Warto odnotować, że w NIS2 znalazły się przepisy istotnie zwiększające motywację do przestrzegania jej przepisów z uwagi na zagrożenie karami pieniężnymi. Dyrektywa NIS2 przewiduje kary za nieprzestrzeganie wprowadzonych obowiązków w wysokości do:

• 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa – dla podmiotów kluczowych
• 7 000 000 EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa – dla podmiotów ważnych.

W dyrektywie dodatkowo została wprowadzona odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem. Mianowicie, każda osoba fizyczna odpowiedzialna za podmiot kluczowy lub działająca w charakterze przedstawiciela prawnego tego podmiotu na podstawie uprawnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli, będzie mogła zostać pociągnięta do odpowiedzialności za niewywiązanie się z obowiązku zapewnienia przestrzegania przepisów Dyrektywy, czyli w praktyce, w zależności od struktury wewnętrznej firmy, oznacza to potencjalną odpowiedzialność zarządów i wysokiego managementu.

Regulacje dotyczące cyberbezpieczeństwa w Polsce

Państwa członkowskie miały czas do 17 października 2024 r. na wdrożenie przepisów Dyrektywy NIS2 do swoich porządków prawnych. W Polsce transpozycja przyjmie formę nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa[5], której ostatni projekt[6] z dnia 7 października 2025 r. w swojej aktualnej wersji jest procedowany w Radzie Ministrów.

Nowa ustawa ma stworzyć ramy prawne, które pozwolą jeszcze lepiej chronić strategiczne sektory przed atakami w sieci, a także wzmocnić mechanizmy nadzoru i kontroli. Projekt nowelizacji, poza implementacją przepisów dyrektywy, m.in.:

• przewiduje wyższe niż dyrektywa kary finansowe (nawet do 100 mln zł),
• zawiera przepisy dotyczące uznania dostawcy np. oprogramowania za dostawcę wysokiego ryzyka („DWR”), co w praktyce może oznaczać konieczność bardzo kosztownej wymiany stosowanych rozwiązań informatycznych,
• rozszerza krąg osób podlegających osobistej odpowiedzialności za przestrzeganie nowych przepisów o „kierowników jednostki” (w dyrektywie jest mowa o osobach odpowiedzialnych za dany podmiot, czyli w praktyce jedynie o organach zarządzających).

Istotny z perspektywy przedsiębiorców będzie czas, w jakim będą musieli przystosować działalność do nowych przepisów. Przede wszystkim podmioty, które potencjalnie będą spełniały cechy podmiotów kluczowych i ważnych, będą miały 6 miesięcy, od dnia wejścia w życie ustawy, na przeprowadzenie samoanalizy ewentualnego podlegania pod regulacje oraz dokonanie rejestracji w wykazie. Ponadto, podmioty kluczowe będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy, a każdy kolejny audyt będzie musiał być przeprowadzony w ciągu 36 miesięcy od poprzedniego. Co ciekawe, podmioty ważne nie zostały objęte tym obowiązkiem.

Wprowadzono również kary za nieprzestrzeganie nowych regulacji.

• Kara nakładana na podmioty kluczowe, które nie będą wykonywały wprowadzonych obowiązków, będzie mogła wynieść maksymalnie 10 mln EUR lub 2% przychodów osiągniętych przez podmiot w roku poprzednim, jednak nie będzie mogła być niższa niż 20 000 zł.
• Kara nakładana na podmioty ważne będzie mogła wynieść maksymalnie 7 mln EUR lub 1,4% przychodów i nie będzie mogła być niższa niż 15 000 zł.
• Kary dla kierowników podmiotów ważnych lub kluczowych w wysokości do 300% otrzymywanego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
• Kara kwalifikowana w wysokości do 100 mln zł, w przypadku, gdy naruszenie przepisów ustawy spowodowało bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi albo zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Planowana nowelizacja znacznie zaostrzy przepisy regulujące kary za nieprzestrzeganie przepisów o cyberbezpieczeństwie. Aktualne sankcje finansowe w tym obszarze zawarte są w nadal obowiązującym art. 73 ustawy o Krajowym Systemie Cyberbezpieczeństwa i przewidują kary finansowe do 150 000 zł za nie przeprowadzanie systematycznego szacowania ryzyka lub nie zarządzanie ryzykiem wystąpienia incydentu.

Ochrona, która się opłaca

Zapewnienie bezpieczeństwa online to już nie tylko kwestia ochrony wrażliwych danych, ale również kluczowy element strategii biznesowej każdej organizacji, świadczący o odpowiedzialności firmy i dbałości o klientów, ponieważ sposób zarządzania cyberbezpieczeństwem bezpośrednio wpływa na renomę firmy, jej postrzeganie w branży i zaufanie konsumentów. W dobie wzrastającej świadomości społecznej na temat zagrożeń cyfrowych, użytkownicy bardziej zwracają uwagę na to, czy firmy są odpowiednio zabezpieczone przed atakami i unikają tych, które nie zapewniają należytego standardu ochrony. Każdy cyberatak to nie tylko strata finansowa związana z naprawą szkód, ale także utrata zaufania klientów, a odbudowa reputacji staje się wyzwaniem, które może zaważyć na przyszłości firmy. Oczywiście nie ma cyberbezpieczeństwa absolutnego, ale zdecydowanie można dążyć do jego lepszego poziomu. Dlatego, nie tylko z perspektywy bezpieczeństwa firmy, ale również z perspektywy biznesowej, warto wcześniej zainwestować w odpowiednie zabezpieczenia, niż później mierzyć się z przykrymi skutkami takiego ataku.

[1] Wnioski zostały oparte na badaniu opinii ponad 1000 pracowników; „Cyberportret polskiego biznesu”, przygotowany przez firmę ESET i Dagma Bezpieczeństwo IT, https://in.eset.pl/cyberportret-polskiego-biznesu?_gl=1*12zsgl9*_ga*MTEwMTE1MDk2LjE3MzA5Njc2ODc.*_ga_VPQGKXJKZL*MTczMDk2NzY4Ny4xLjEuMTczMDk2ODEwNy4wLjAuMA..*_gcl_au*NjgzNjUyMjIuMTczMDk2ODA5OA

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80).

[3] Pkt 1 motywów Dyrektywy.

[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1).

[5] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2024 r. poz. 1077).

[6] https://legislacja.gov.pl/projekt/12384504/katalog/13055243#13055243