cybersecurity

Unia Europejska wzmacnia poziom cyberbezpieczeństwa
– nowe przepisy będą chronić cyfrową gospodarkę


Unia Europejska wprowadza nowe regulacje dotyczące cyberbezpieczeństwa. Celem dyrektywy NIS 2 jest zwiększenie odporności i zdolności reagowania podmiotów z sektora publicznego i prywatnego, a także UE jako całości na cyfrowe zagrożenia dla gospodarki.

Dynamiczny rozwój technologii i cyfryzacja niosą za sobą szanse, ale i zagrożenia. Potencjalne awarie systemów informatycznych wspomagających współczesną gospodarkę np. usługi finansowe czy opiekę zdrowotną mogą powodować wielkie straty finansowe, a nawet prowadzić do zagrożenia zdrowia i życia. Coraz większa częstotliwość takich zjawisk wymusiła wprowadzenie nowych, skuteczniejszych regulacji prawnych. Dyrektywa NIS 2 z 15 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii zastąpi obecną dyrektywę NIS o bezpieczeństwie sieci i systemów informatycznych.

NIS 2 definiuje dwa rodzaje podmiotów objętych nowymi regulacjami – podmioty kluczowe i ważne. Działają one w następujących sektorach gospodarki:

  • publiczni dostawcy sieci łączności i świadczący usługi łączności elektronicznej,
  • podmioty administracji publicznej,
  • usług cyfrowych świadczonych przez platformy sieci społecznościowych,
  • centra danych,
  • przestrzeń kosmiczna,
  • energetyka,
  • transport,
  • bankowość,
  • infrastruktura rynków finansowych,
  • opieka zdrowotna,
  • dostarczanie wody pitnej,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT (między przedsiębiorstwami), np.: dostawcy usług zarządzanych,
  • producenci produktów uznanych za krytyczne, np. leków, urządzeń medycznych, urządzeń elektrycznych,
  • usługi pocztowe i kurierskie,
  • gospodarka odpadami,
  • produkcja i dystrybucja żywności,
  • dostawcy usług cyfrowych, np. internetowych platform handlowych.


Do grupy kluczowych zaliczają się podmioty działające w powyższych obszarach, w których zatrudnienie przekracza 250 pracowników, a roczny obrót wynosi powyżej 10 mln euro. Pozostałe podmioty, niespełniające kryterium wielkości, kwalifikowane są jako podmioty ważne.

Dyrektywa NIS 2 nakłada na podmioty kluczowe i ważne obowiązek wprowadzenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowanie takiego wpływu. Środki te mają być określane w oparciu o podejście uwzględniające wszystkie zagrożenia. W ramach działań należy uwzględnić m.in. prowadzenie analizy ryzyka, bieżącą obsługę incydentów, opracowanie planu ciągłości działania, stworzenie polityk i procedur w zakresie przeprowadzania audytów zabezpieczeń, a także korzystanie z kryptografii i szyfrowania – wyjaśnia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa DEKRA.


Państwa członkowskie UE zobowiązane są ustanowić szczegółowy wykaz podmiotów kluczowych i ważnych do 27 kwietnia 2025 roku.
W trosce o standardy cyberbezpieczeństwa

Artykuł 25 dyrektywy NIS 2 zachęca także podmioty działające na rynku do stosowania europejskich i międzynarodowych norm istotnych z punktu widzenia cyberbezpieczeństwa m.in. normy ISO/IEC 27000, a w szczególności ISO/IEC 27001:2022.


Dotyczą one m.in. budowania systemów bezpieczeństwa informacji uwzględniających specyfikę działalności i charakterystykę potencjalnych zagrożeń. Systemy te powinny być certyfikowane pod kątem zgodności z międzynarodowymi standardami. Wśród środków nadzoru i egzekwowania stosowania przepisów przez podmioty kluczowe wskazano dodatkowo uprawnienie podmiotów nadzorujących do wnioskowania o przedstawienie audytu z realizacji praktyk cyberbezpieczeństwa, przeprowadzonego przez wykwalifikowanego audytora – dodaje ekspert DEKRA.

Właściwe organy państw członkowskich mają możliwość nałożenia na podmioty kluczowe i ważne administracyjnych kar pieniężnych w razie naruszenia przepisów. Ich wysokość powinna być proporcjonalna do skali wykroczenia, ale nie większa niż 2% rocznego obrotu lub 10 mln euro.
Nowe przepisy wynikające z dyrektywy NIS 2 zaczną obowiązywać w UE od 18 października 2024 roku.

DEKRA jest globalnym liderem na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Z jasną, ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata DEKRA łączy najlepszych ludzi, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes na lepsze.

Działająca od niemal 100 lat na świecie – i od ponad 20 lat w Polsce – DEKRA stawia obecnie na dynamiczny rozwój usług z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz na usługi wspierające zrównoważony rozwój organizacji i elektromobilność.

Świadomi zagrożeń i wyzwań współczesnego świata klienci DEKRA korzystają z rozwiązań, które dają im rzetelną wiedzę i praktyczne narzędzia, takie jak m.in. certyfikacja ISO 27001 i ISO 22301, czy specjalistyczne audyty (np. audyt bezpieczeństwa systemu informacyjnego dla operatorów usług kluczowych). Dzięki połączeniu wiedzy i doświadczenia ekspertów lokalnych i międzynarodowych mają oni dostęp do wszystkich potrzebnych informacji i usług z jednego, obszernego i elastycznego źródła.