Które przedsiębiorstwa muszą wdrożyć dyrektywę NIS2?

Nowe przepisy Unii Europejskiej wprowadzają istotne zmiany w organizacji cyberbezpieczeństwa. Przyjęta w grudniu 2022 roku Dyrektywa NIS2 nakłada na wybrane przedsiębiorstwa szereg nowych obowiązków. Od 18 października 2024 roku organizacje spełniające określone warunki muszą dostosować się do zaostrzonych wymogów bezpieczeństwa. Sprawdźmy, jakie firmy obejmą nowe regulacje i jak przygotować się do nadchodzących zmian.

Jakie sektory obejmie NIS2?

Przepisy wprowadzają istotny podział na dwie kategorie: sektory istotne oraz sektory ważne. Różnią się one nie tylko poziomem nadzoru, ale także wysokością potencjalnych kar za nieprzestrzeganie przepisów.

Zobacz też: Dyrektywa NIS 2 - jak się przygotować?

Do pierwszej grupy należą strategiczne obszary gospodarki: energetyka wraz z systemami produkcji i dystrybucji prądu, transport obejmujący przewozy lotnicze, kolejowe, wodne i drogowe, a także sektor bankowy i finansowy. Szczególną ochroną objęto również służbę zdrowia, infrastrukturę wodociągową, systemy informatyczne oraz przestrzeń kosmiczną.

Druga kategoria to sektory ważne, gdzie znajdziemy usługi pocztowe i kurierskie, gospodarkę odpadami oraz przemysł chemiczny i spożywczy. Do tej grupy zaliczono również producentów wyrobów medycznych i elektronicznych, a także dostawców usług cyfrowych, takich jak platformy handlowe, wyszukiwarki internetowe czy media społecznościowe.

Wielkość firmy ma znaczenie

Dyrektywa wprowadza precyzyjne kryteria dotyczące wielkości przedsiębiorstw. Podstawowe progi kwalifikacyjne to zatrudnienie minimum 50 pracowników oraz roczny obrót lub suma bilansowa przekraczająca 10 milionów euro.

Przeczytaj także: DORA - jak wypada w porównaniu z NIS 2?

Warto jednak pamiętać, że mniejsze organizacje również mogą podlegać tym przepisom. Dzieje się tak w przypadku firm świadczących usługi kluczowe dla społeczeństwa lub gospodarki. Status podmiotu istotnego mogą otrzymać także przedsiębiorstwa będące jedynymi dostawcami określonych usług w danym regionie.

Szczególną uwagę należy zwrócić na dostawców usług cyfrowych. Firmy oferujące usługi DNS, rejestry domen najwyższego poziomu czy dostawcy kwalifikowanych usług zaufania podlegają dyrektywie NIS2 niezależnie od swojej wielkości.

Kto nie musi stosować NIS2?

Dyrektywa przewiduje kilka istotnych wyłączeń. Z nowych obowiązków zwolnione są przedsiębiorstwa współpracujące wyłącznie z podmiotami administracji publicznej w obszarze bezpieczeństwa narodowego. Wyłączenie obejmuje również organizacje działające w sferze obronności oraz organy ścigania.

Na szczególną uwagę zasługują podmioty z sektora finansowego, które podlegają rozporządzeniu DORA. W ich przypadku stosuje się odrębne regulacje dotyczące cyberbezpieczeństwa, co eliminuje konieczność podwójnego dostosowania się do podobnych wymogów.

Pamiętajmy jednak, że wyłączenie z NIS2 nie oznacza braku obowiązków w zakresie cyberbezpieczeństwa. Inne regulacje branżowe mogą nakładać podobne lub nawet bardziej rygorystyczne wymagania.

Podsumowanie

Identyfikacja obowiązków wynikających z dyrektywy NIS2 wymaga dokładnej analizy trzech kluczowych aspektów: sektora działalności, wielkości przedsiębiorstwa oraz charakteru świadczonych usług. Nieprawidłowa klasyfikacja może skutkować dotkliwymi karami finansowymi - do 10 milionów euro dla podmiotów kluczowych i do 7 milionów euro dla podmiotów ważnych. W przypadku wątpliwości warto skonsultować się z ekspertami, którzy pomogą określić status firmy i zaplanować proces dostosowania do nowych wymogów.