NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa

Wstęp

Dyrektywa NIS (Network and Information Security Directive) została wprowadzona przez Komisję Europejską w 2016 r. równolegle z rozporządzeniem o Ochronie Danych Osobowych (General Data Protection Regulation). Wdrożenie przepisów RODO odbiło się szerokim echem na całym świecie, a dyrektywę NIS można uznać za ledwie zauważalną. Stało się tak przez trzy główne powody:

1) dyrektywa to nie rozporządzenie – dyrektywa, w przeciwieństwie do rozporządzenia, jest tylko wytyczną do wdrożenia. Państwa członkowskie mają obowiązek stworzyć lokalne przepisy prawne na podstawie dyrektywy, dzięki czemu dysponują możliwością interpretacji oraz wprowadzania zmian w ostatecznej wersji swoich aktów normatywnych. Rozporządzenie ma bezpośrednie zastosowanie w państwach członkowskich i nie wymaga transpozycji;

2) brak konkretnych wymogów bezpieczeństwa – oryginalna dyrektywa, która została uchylona dyrektywą NIS2 i przestała mieć zastosowanie od 17 października 2024 r., nie zawierała konkretnych wytycznych, jakie muszą spełnić podmioty podległe dyrektywie. Artykuł 14 pkt 1 dyrektywy NIS stanowił, że: „Państwa członkowskie zapewniają, aby operatorzy usług kluczowych podejmowali odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez nich sieci i systemy informatyczne. Uwzględniając najnowszy stan wiedzy, środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka”¹;

3) niska świadomość o cyberbezpieczeństwie – pierwsza usługa chmurowa Amazon Web Services powstała w 2006 r., jednak dopiero w 2015 r. usługi chmurowe zaczęły być wykorzystywane masowo, wtedy też zaczęła się obecnie trwająca transformacja cyfrowa. Do tego czasu większość systemów IT oraz przetwarzanych danych znajdowała się w lokalnych centrach danych, a praca zdalna była uznawana za ewenement, a nie za codzienność. To wszystko miało bezpośredni wpływ na bardzo niską świadomość firm o cyberbezpieczeństwie i zarazem nie było traktowane jako priorytet nawet dla operatorów usług kluczowych.