Nowe obowiązki wprowadzane przez Dyrektywę NIS2 - Aktualności - pracodawcy.info.pl
Platforma członkowska

Nowe obowiązki wprowadzane przez Dyrektywę NIS2

Dodano: 10.07.2024
Zwracamy uwagę na zbliżające się istotne zmiany w prawodawstwie, które mogą znacząco wpłynąć na funkcjonowanie firm. W kontekście rosnących zagrożeń cyberbezpieczeństwa, Unia Europejska wprowadza dyrektywę NIS2, która stawia nowe wymagania w zakresie ochrony danych i systemów informatycznych.

Eksperci Pracodawców Pomorza i Kujaw są gotowi odpowiedzieć na wszelkie pytania dotyczące nowych przepisów oraz pomóc w weryfikacji, czy firma będzie bezpośrednio podlegać nowym regulacjom dyrektywy NIS2. Zapraszamy do kontaktu!

Kluczowe zmiany

  • Nowa kwalifikacja podmiotów: dyrektywa NIS2 wprowadza rozróżnienie na podmioty kluczowe i ważne, które zastąpi dotychczasowych operatorów usług kluczowych. Podmioty te będą musiały spełniać określone kryteria i wdrażać odpowiednie środki zarządzania ryzykiem.
  • Rozszerzenie katalogu podmiotów: zmieniony katalog obejmuje teraz nie tylko duże przedsiębiorstwa, ale również mniejsze podmioty, takie jak dostawcy usług DNS, usług zarządzanych w zakresie cyberbezpieczeństwa, podmioty wytwarzające i produkujące chemikalia oraz wyroby medyczne.
  • Nowe obowiązki w zakresie cyberbezpieczeństwa:
    - analiza ryzyka cybernetycznego; podmioty kluczowe i ważne będą zobowiązane do przeprowadzania regularnej analizy ryzyka cybernetycznego, identyfikując potencjalne zagrożenia i słabe punkty w swoich systemach informatycznych.
    - opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego; firmy będą musiały na bieżąco dostosowywać swoje procedury bezpieczeństwa do zmieniających się zagrożeń.
    - zgłaszanie incydentów poważnych; podmioty będą zobowiązane do zgłaszania incydentów poważnych do odpowiednich CSIRT sektorowych nie później niż w ciągu 72 godzin od momentu ich wykrycia. Wczesne ostrzeżenia muszą być zgłaszane nie później niż w ciągu 24 godzin.
    - przeprowadzanie audytów bezpieczeństwa systemu informacyjnego; co najmniej raz na dwa lata firmy muszą przeprowadzać audyty oceniające zgodność z nowymi wymogami prawnymi oraz identyfikujące potencjalne słabe punkty w zabezpieczeniach.
  • Bezpieczeństwo łańcucha dostaw: dyrektywa NIS2 kładzie duży nacisk na bezpieczeństwo łańcucha dostaw. Firmy będą musiały zapewnić, że ich dostawcy również spełniają określone standardy bezpieczeństwa. Jest to szczególnie istotne dla mniejszych firm, które mogą nie podlegać bezpośrednio dyrektywie, ale są częścią większych łańcuchów dostaw.
  • Nowe sankcje:
    - minimalna wysokość kar wynosi 20 000 zł dla podmiotów kluczowych oraz 15 000 zł dla podmiotów ważnych.
    - maksymalna kara może sięgać 10 mln euro lub 2% przychodów z działalności za poprzedni rok obrotowy.
    - kary pieniężne mogą być również nałożone na kierowników podmiotów za nieprzestrzeganie przepisów.

kogo dotyczą zmiany?

Nowe regulacje obejmują szeroki zakres podmiotów, w tym:
- duże i średnie przedsiębiorstwa,
- małe firmy będące częścią większych łańcuchów dostaw, które będą musiały spełniać wymagania swoich większych partnerów biznesowych,
- podmioty publiczne i prywatne prowadzące działalność w sektorach kluczowych (w sumie prawie 40 tys. podmiotów w Polsce):
- energetyka
- bankowość
- onfrastruktura rynków finansowych
- opieka zdrowotna
- woda pitna
- ścieki
- administracja publiczna
- zarządzanie usługami ICT
- przestrzeń kosmiczna
- transport
- infrastruktura cyfrowa
- produkcja (wyroby medyczne, produkty komputerowe, elektroniczne, maszyny i wyposażenie, samochody i sprzęt transportowy)
- usługi pocztowe i kurierskie
- gospodarowanie odpadami
- produkcja, wytwarzanie i dystrybucja chemikaliów
- produkcja, przetwarzanie i dystrybucja żywności
- badania naukowe
- dostawcy cyfrowi

Kluczowe terminy

Dyrektywa NIS2 weszła w życie 14 grudnia 2022 roku, a kraje członkowskie Unii Europejskiej, w tym Polska, mają obowiązek jej implementacji do 18 października 2024 roku. Nowelizacja polskiej ustawy o krajowym systemie cyberbezpieczeństwa ma wejść w życie po upływie miesiąca od dnia ogłoszenia ustawy w Dzienniku Ustaw, co oznacza, że nowe przepisy mogą zacząć obowiązywać już w drugiej połowie 2024 roku.

Konsekwencje dla przedsiębiorców

Te zmiany oznaczają, że przedsiębiorstwa będą musiały zwiększyć swoje inwestycje w bezpieczeństwo cybernetyczne, co może wiązać się z dodatkowymi kosztami. Jednakże, z perspektywy długoterminowej, wdrożenie tych środków jest kluczowe dla zapewnienia ochrony przed coraz bardziej wyrafinowanymi zagrożeniami cybernetycznymi. 

Dlatego apelujemy do wszystkich firm w regionie o podjęcie działań przygotowujących do nowych wymogów. Zrozumienie i wdrożenie tych regulacji jest kluczowe dla zapewnienia ciągłości działania i ochrony przed potencjalnymi zagrożeniami. 

Zadbajmy o cyberbezpieczeństwo naszych firm już dziś.

CZYTAJ RÓWNIEŻ

Oferta pracy - Konsultant

Oferta pracy - Konsultant

Stanowisko w sprawie konsultacji dot. nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Stanowisko w sprawie konsultacji dot. nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Ta strona korzysta z ciasteczek, aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.
Polityka prywatności Akceptuję
Sprawdź informacje od naszych członków
Zapisz się do newslettera
"Pracodawcy Pomorza i Kujaw" Związek Pracodawców
ul. Gdańska 141/3/6
85-022 Bydgoszcz
tel. 52 524 09 20
biuro@pracodawcy.info.pl
www.pracodawcy.info.pl
NIP: 554-10-19-060
REGON: 090586671
KRS: 0000109572