Dyrektywa NIS2 w Polsce. Ponad 10 000 firm musi wdrożyć nowe standardy cyberbezpieczeństwa. Kary sięgną 10 mln euro

Rada Ministrów przyjęła w zeszłym tygodniu projekt ustawy wdrażającej unijną dyrektywę NIS2 do polskiego prawa. Problem w tym, że termin na jej implementację minął ponad rok temu, czyli 17 października 2024 roku. To opóźnienie może kosztować polskie firmy słono, bo nowe przepisy o cyberbezpieczeństwie objęły już ponad 10 tysięcy podmiotów w kraju, a większość z nich nie ma jeszcze świadomości nadchodzących obowiązków.

Cyberzagrożenia rosną z każdym rokiem, dlatego musimy działać szybciej i skuteczniej niż ci, którzy próbują nas zaatakować - wicepremier Krzysztof Gawkowski o implementacji dyrektywy NIS2 w Polsce.

Polska w czołówce zagrożonych krajów Europy. Raport Check Point wskazuje na nowe taktyki cyberprzestępców i zmianę celów

Dyrektywa NIS2, która zastąpiła poprzednie rozwiązanie NIS1 z 2016 roku, to prawdopodobnie najważniejsza regulacja UE dotycząca cyberbezpieczeństwa w ostatniej dekadzie. Jej skutki odczują nie tylko wielkie korporacje z sektorów energetyki czy bankowości, ale też tysiące średnich i małych firm technologicznych. Są nimi dostawcy usług chmurowych, operatorzy centrów danych, firmy telekomunikacyjne, a nawet producenci elektroniki. Polska powinna była transponować te przepisy do krajowego prawa najpóźniej w październiku 2024. Zamiast tego, rząd dopiero teraz przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Główna zmiana? Liczba podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa wręcz eksplodowała z około 400 do ponad 10 000! To efekt rozszerzenia zakresu dyrektywy na 18 sektorów krytycznych, w tym dotychczas pomijane obszary jak usługi pocztowe i kurierskie, gospodarka odpadami, przestrzeń kosmiczna czy produkcja chemikaliów i żywności. Dyrektywa wprowadza też dwustopniowy podział, na podmioty kluczowe i podmioty ważne. Te pierwsze to głównie duże firmy, których zakłócenie działalności może mieć poważne konsekwencje dla bezpieczeństwa państwa. Za ich naruszenia przepisów grożą kary do 10 mln euro lub 2 proc. rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. Podmioty ważne, często mniejsze przedsiębiorstwa, mogą zostać ukarane kwotą do 7 mln euro.

Atak PixNapping na Androidzie pozwala na kradzież kodów 2FA bez specjalnych uprawnień poprzez manipulację zrzutami ekranu

Najciekawszy aspekt NIS2 to jednak nie bezpośrednie objęcie zakresem tysięcy firm, lecz tzw. efekt łańcucha dostaw. Dyrektywa wymaga bowiem od podmiotów kluczowych i ważnych kontroli swoich dostawców oraz klientów biznesowych pod kątem cyberbezpieczeństwa. Wyobraźmy sobie to jak aktualizację zabezpieczeń w systemie. Jeśli jeden komponent pozostaje podatny na ataki, całe rozwiązanie traci stabilność. Podobnie jest z łańcuchem dostaw. Nawet jeśli niewielka firma nie podlega bezpośrednio dyrektywie, ale współpracuje z podmiotem kluczowym, będzie musiała spełnić określone standardy bezpieczeństwa, aby utrzymać kontrakt. To oznacza, że faktyczna liczba firm, które poczują skutki NIS2, będzie znacznie wyższa niż te oficjalne 10 tysięcy. Nowe przepisy zmieniają też filozofię podejścia do cyberbezpieczeństwa. Zamiast sztywnych wymagań technicznych, dyrektywa NIS2 wprowadza model bazujący na analizie ryzyka. Każdy podmiot musi sam przeprowadzić ocenę zagrożeń i dopasować środki bezpieczeństwa do swojej specyfiki działania. To jednocześnie elastyczność i pułapka. Firmy zyskują swobodę w doborze rozwiązań, ale też pełną odpowiedzialność za ich skuteczność. Muszą wdrożyć system zarządzania bezpieczeństwem informacji (ISMS), regularnie oceniać ryzyko, zarządzać incydentami oraz szkolić kadry zarządzające. Co istotne, osoby zarządzające będą ponosić osobistą odpowiedzialność za zaniedbania w tym obszarze.

Twoja gamingowa myszka może Cię podsłuchiwać. Sensory PixArt PAW3395 i PAW3399 zagrażają prywatności użytkowników

Nowością jest też utworzenie sektorowych zespołów CSIRT (Computer Security Incident Response Team), które będą wspierać przedsiębiorców w reagowaniu na cyberataki. Obecnie w Polsce działają trzy główne CSIRT-y krajowe. Są nimi CERT Polska dla obywateli, CSIRT GOV dla administracji rządowej oraz CSIRT MON dla struktur wojskowych. Teraz dołączą do nich wyspecjalizowane zespoły dla poszczególnych branż, np. energetyki, finansów czy zdrowia. Incydenty będą zgłaszane przez system S46, najpierw w formie wczesnego ostrzeżenia w ciągu 24 godzin, następnie pełne zgłoszenie w 72 godziny, a na koniec sprawozdanie końcowe w ciągu miesiąca. Dla polskiego sektora IT implementacja NIS2 to podwójna kwestia. Z jednej strony, firmy technologiczne, szczególnie te świadczące usługi infrastruktury cyfrowej, znajdą się w gronie podmiotów bezpośrednio objętych obowiązkami. Dostawcy usług DNS, operatorzy rejestrów domen TLD czy dostawcy kwalifikowanych usług zaufania automatycznie stają się podmiotami kluczowymi, niezależnie od wielkości. Z drugiej strony, rosnące wymagania wobec cyberbezpieczeństwa to szansa rynkowa dla firm oferujących rozwiązania z zakresu ochrony systemów informatycznych, audytów bezpieczeństwa czy szkoleń.

Microsoft potwierdza wykorzystanie zero-day CVE-2025-10035 w GoAnywhere MFT przez hakerów z max oceną zagrożenia 10.0

Pytanie brzmi jednak, czy rok opóźnienia w implementacji nie zaszkodzi polskim przedsiębiorcom? Komisja Europejska może nałożyć na Polskę procedurę naruszenia unijnego prawa, co wiąże się z potencjalnymi karami finansowymi. Ale to nie koniec kłopotów. Firmy, które do tej pory nie przygotowały się do wymogów NIS2, będą musiały w ekspresowym tempie wprowadzić zmiany organizacyjne i technologiczne, od wdrożenia systemów zarządzania bezpieczeństwem, przez szkolenia kadry, po audyty infrastruktury IT. A to na to potrzeba nie tylko sporo pieniędzy, ale przede wszystkim czasu.