Dyrektywa NIS 2: zabezpieczenie sieci i systemów informatycznych

Cyberbezpieczeństwo obejmuje ochronę sieci i systemów informatycznych (NIS), ich użytkowników i innych osób dotkniętych cyberincydentami i zagrożeniami. Aby zareagować na zwiększone narażenie Europy na cyberzagrożenia, dyrektywa 2022/2555, znana również jako NIS2, zastąpiła swoją poprzedniczkę – dyrektywę 2016/1148 lub NIS1. NIS 2 podnosi wspólny unijny poziom ambicji w zakresie cyberbezpieczeństwa dzięki szerszemu zakresowi, jaśniejszym przepisom i silniejszym narzędziom nadzoru. Zobowiązuje on państwa członkowskie do zwiększenia swoich zdolności w zakresie cyberbezpieczeństwa, przy jednoczesnym wprowadzeniu środków zarządzania ryzykiem i wymogów sprawozdawczych dla podmiotów z większej liczby sektorów oraz ustanowieniu zasad współpracy, wymiany informacji, nadzoru i egzekwowania środków w zakresie cyberbezpieczeństwa.

Dyrektywa zobowiązuje każde państwo członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa, która obejmuje politykę bezpieczeństwa łańcucha dostaw, zarządzania podatnościami oraz edukacji i świadomości w zakresie cyberbezpieczeństwa. Państwa członkowskie muszą również ustanowić i regularnie aktualizować wykaz operatorów usług kluczowych, zapewniając przestrzeganie przez te podmioty wymogów dyrektywy.

Oprócz sektorów już objętych NIS 1 – energii, transportu, opieki zdrowotnej, finansów, gospodarki wodnej i infrastruktury cyfrowej – nowe przepisy mają również zastosowanie do dostawców publicznej łączności elektronicznej, większej liczby usług cyfrowych (takich jak platformy społecznościowe), gospodarowania odpadami i ściekami, produkcji produktów o krytycznym znaczeniu, usług pocztowych i kurierskich oraz administracji publicznej zarówno na szczeblu centralnym, jak i regionalnym, a także sektora kosmicznego. Co do zasady średnie i duże podmioty w tych sektorach krytycznych będą musiały wprowadzić odpowiednie środki zarządzania ryzykiem w cyberprzestrzeni i powiadomić odpowiednie organy krajowe o znaczących incydentach. Są to incydenty, które mogą spowodować znaczne zakłócenia lub szkody.

Dyrektywa zawiera również przepisy dotyczące nadzoru, egzekwowania i dobrowolnych wzajemnych ocen w celu zwiększenia wzajemnego zaufania i zdolności w zakresie cyberbezpieczeństwa w całej UE. Wprowadza również odpowiedzialność najwyższego kierownictwa za nieprzestrzeganie środków zarządzania ryzykiem w cyberprzestrzeni, tym samym zwracając uwagę zarządu na cyberbezpieczeństwo.

Dyrektywa ustanawia sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) w celu wymiany informacji na temat cyberzagrożeń i reagowania na incydenty. Zespoły te mają kluczowe znaczenie dla utrzymania orientacji sytuacyjnej i oferowania pomocy. Aby zarządzać cyberincydentami lub kryzysami cybernetycznymi na dużą skalę, w dyrektywie utworzono europejską sieć organizacji łącznikowych ds. kryzysów cybernetycznych (EU-CyCLONe). Sieć ta wspiera skoordynowane zarządzanie i zapewnia regularną wymianę informacji między państwami członkowskimi i instytucjami UE w przypadku incydentów i kryzysów na dużą skalę. 

Równolegle grupa współpracy ds. bezpieczeństwa sieci i informacji jest platformą ustanowioną dyrektywą w sprawie bezpieczeństwa sieci i informacji w celu ułatwienia współpracy strategicznej i wymiany informacji między państwami członkowskimi UE, Komisją Europejską i Agencją UE ds. Cyberbezpieczeństwa (ENISA). Grupa publikuje niewiążące wytyczne i zalecenia wspierające wdrażanie dyrektywy w sprawie bezpieczeństwa sieci i informacji.

20 stycznia 2026 r. w ramach nowego pakietu dotyczącego cyberbezpieczeństwa Komisja zaproponowała ukierunkowane zmiany w dyrektywie NIS 2 w celu zwiększenia jasności prawa. Zmiany uproszczą przestrzeganie unijnych przepisów dotyczących cyberbezpieczeństwa i wymogów w zakresie zarządzania ryzykiem przez przedsiębiorstwa prowadzące działalność w UE. Ułatwią one przestrzeganie przepisów 28 700 przedsiębiorstwom, w tym 6 200 mikroprzedsiębiorstwom i małym przedsiębiorstwom.  

Kontekst

Dyrektywa NIS 1 (dyrektywa 2016/1148) była pierwszym kompleksowym prawodawstwem UE mającym na celu zwiększenie cyberbezpieczeństwa sieci i systemów informatycznych w celu ochrony podstawowych usług dla gospodarki i społeczeństwa UE. W grudniu 2020 r. Komisja zaproponowała zmianę NIS 1, co doprowadziło do przyjęcia NIS 2, który wszedł w życie w styczniu 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na transpozycję dyrektywy NIS 2 do prawa krajowego. NIS 2 uchylił NIS 1 z dniem 18 października 2024 r.