Dyrektywa NIS2 – najważniejsze informacje

   Czas czytania 3 min.

Akt prawny, jakim jest dyrektywa NIS2 jest rozwinięciem funkcjonującej dyrektywy NIS. Jej celem jest zapewnienie cyberbezpieczeństwa we wszystkich krajach Unii Europejskiej. Sprawdź, czym jest dyrektywa NIS2 i jakie są jej główne założenia.

dyrektywna nis2


Czym jest dyrektywa NIS2?

Dyrektywa NIS2 to następca dla dyrektywy NIS i rozszerza przepisy dotyczące cyberbezpieczeństwa. Obejmuje aktualizację norm prawnych, dostosowując się do przemian i postępującej cyfryzacji. NIS2 określa zbiór przepisów dotyczących cyberbezpieczeństwa i rozszerza odpowiedzialność na nowe sektory i podmioty.

Dyrektywa NIS2 (Network and Information Security Directive 2) i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) obejmuje wprowadzenie nowych, bardziej rozbudowanych wymogów dotyczących cyberbezpieczeństwa. Celem nowych przepisów jest ochrona kluczowych usług i infrastruktury w Unii Europejskiej, ale w odróżnieniu od wcześniejszych regulacji, NIS2 rozszerza zakres stosowania przepisów na więcej sektorów i podmiotów, w tym na małe i średnie przedsiębiorstwa oraz branżę e-commerce.

Najważniejsze przepisy dyrektywy NIS2 w zakresie cyberbezpieczeństwa

Kluczowe przepisy, które powodują, że MŚP i e-commerce są objęte nowymi regulacjami

1.Rozszerzenie definicji podmiotów objętych regulacjami

NIS2 rozszerza definicję podmiotów istotnych, które muszą przestrzegać przepisów dotyczących cyberbezpieczeństwa na terytorium Unii.

Oprócz operatorów infrastruktury krytycznej (np. energetyka, telekomunikacja, bankowość), dyrektywa obejmuje teraz również platformy e-commerce, dostawców usług cyfrowych oraz firmy MŚP działające w sektorach, które są istotne z punktu widzenia gospodarki i społeczeństwa (np. dostawcy chmur, hostingi, platformy handlowe online).

Co to oznacza? W praktyce, branża e-commerce oraz firmy działające w szeroko pojętej gospodarce cyfrowej są teraz objęte regulacjami NIS2. Jeśli firma prowadzi działalność handlową online i jest dostawcą ważnych usług cyfrowych, musi spełniać określone wymogi bezpieczeństwa.

2. Obowiązek zarządzania ryzykiem i zgłaszania incydentów

Każda firma uznana za podmiot istotny musi wdrożyć procedury zarządzania ryzykiem związanym z cyberbezpieczeństwem. Dotyczy to również małych i średnich przedsiębiorstw, jeśli ich działalność ma znaczenie gospodarcze lub społeczne (np. sklepy internetowe).

Firmy te są również zobowiązane do zgłaszania incydentów bezpieczeństwa w określonym czasie (np. w ciągu 24 godzin od wykrycia incydentu), co oznacza konieczność posiadania odpowiednich narzędzi monitorujących i procedur reagowania.

3. Podział na podmioty „istotne” i „ważne”

NIS2 wprowadza dwa typy podmiotów objętych regulacjami:

  • Podmioty istotne (Essential Entities) — dotyczą kluczowych usług (np. energia, zdrowie, bankowość).
  • Podmioty ważne (Important Entities) — w tej grupie znalazły się sektory nie uznane wcześniej za krytyczne, ale które są ważne z punktu widzenia gospodarki cyfrowej, np. platformy e-commerce, usługi hostingowe, dostawcy chmur. MŚP z tych sektorów są objęte przepisami, nawet jeśli ich rozmiar jest mniejszy.

W rezultacie platformy handlowe online, MŚP dostarczające usługi cyfrowe i inne firmy technologiczne muszą spełniać wymogi NIS2 z zakresu cyberbezpieczeństwa.

4. Wyłączenie bardzo małych firm, ale objęcie większych MŚP

Co prawda bardzo małe przedsiębiorstwa (zatrudniające mniej niż 50 osób i generujące obroty poniżej 10 mln euro rocznie) są wyłączone spod niektórych przepisów NIS2, ale średnie firmy (czyli takie, które zatrudniają od 50 do 250 pracowników i mają obroty do 50 mln euro) oraz małe firmy z branż istotnych dla cyberbezpieczeństwa muszą dostosować się do nowych regulacji.

Dlatego e-commerce, które spełnia te kryteria, musi wdrożyć odpowiednie zabezpieczenia i podlega implementacji dyrektywy.

5. Podmioty dostarczające usługi online

Branża e-commerce oraz dostawcy cyfrowi są szczególnie istotni, ponieważ przetwarzają duże ilości danych osobowych i finansowych klientów, a cyberataki na te podmioty mogą mieć poważne konsekwencje dla gospodarki i konsumentów. Nowe przepisy nakładają na nie obowiązek ochrony tych danych w sposób zgodny z najnowszymi standardami bezpieczeństwa.

6. Obowiązki wobec łańcucha dostaw

NIS2 wprowadza również wymogi związane z bezpieczeństwem łańcucha dostaw, co oznacza, że przedsiębiorstwa z sektora e-commerce muszą również monitorować i zarządzać bezpieczeństwem swoich dostawców (np. dostawców oprogramowania, dostawców płatności online).

Przepisy, które mogą być szczególnie kosztowne dla MŚP i e-commerce

  1. Raportowanie incydentów: Obowiązek zgłaszania incydentów cyberbezpieczeństwa w krótkim czasie (24-72 godziny) oznacza konieczność posiadania dedykowanych zespołów lub zewnętrznych firm, które będą monitorować i reagować na zagrożenia.
  2. Audyt i certyfikacja: Regularne audyty cyberbezpieczeństwa, które mogą wymagać zatrudnienia specjalistów z zewnątrz.
  3. Inwestycje w zabezpieczenia: Wdrożenie nowych narzędzi monitorujących, firewalle, systemy do wykrywania i reagowania na incydenty.
  4. Szkolenia personelu: Konieczność podnoszenia kwalifikacji pracowników w zakresie cyberbezpieczeństwa, aby mogli reagować na zagrożenia.

Implementacja dyrektywy NIS2 – czy dyrektywa jest „przeregulowana”?

Z perspektywy sektora MŚP i e-commerce, istnieje obawa, że NIS2 może nałożyć zbyt wysokie koszty na mniejsze firmy, szczególnie te, które nie dysponują dużymi zasobami na cyberbezpieczeństwo. Choć celem dyrektywy jest ochrona całego rynku cyfrowego, mniejsze przedsiębiorstwa mogą odczuwać nadmierne obciążenie, co może wpływać na ich konkurencyjność w stosunku do większych firm.

Jednakże z drugiej strony, większe zabezpieczenia w sektorze e-commerce mogą zwiększyć zaufanie konsumentów i zredukować ryzyko strat wynikających z cyberataków, co w dłuższej perspektywie może przynieść korzyści.

Newsletter Signup
0 0 votes
Oceń artykuł
Subscribe
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments

Szukaj artykułu

Zwroty

Najpopularniejsze tematy

Cło z USA - Wysyłka z USA a cło – kiedy płacimy cło?

Cło z USA - Wysyłka z USA a cło – kiedy płacimy cło?

Czy można sprawdzić, o której przyjedzie kurier?

Czy można sprawdzić, o której przyjedzie kurier?

Shein - zwrot towaru. Jak to zrobić?

Shein - zwrot towaru. Jak to zrobić?

DPD Pickup — jak działa?

DPD Pickup — jak działa?

Deichmann zwroty – jak oddać kupione produkty w sklepie Deichmann?

Deichmann zwroty – jak oddać kupione produkty w sklepie Deichmann?

Jak zwrócić sprzęt do UPC?

Jak zwrócić sprzęt do UPC?

Opłaty celne: co to jest cło i kiedy się je płaci?

Opłaty celne: co to jest cło i kiedy się je płaci?

Sprawdzanie paczki kurierskiej przy odbiorze — czy można?

Sprawdzanie paczki kurierskiej przy odbiorze — czy można?

Opinie