Dyrektywa NIS 2 ustanawia jednolite ramy prawne w celu utrzymania cyberbezpieczeństwa w 18 sektorach krytycznych w całej UE. Wzywa również państwa członkowskie do określenia krajowych strategii cyberbezpieczeństwa i współpracy z UE w zakresie transgranicznego reagowania i egzekwowania przepisów.
Cyberbezpieczeństwo obejmuje ochronę sieci i systemów informatycznych (NIS), ich użytkowników i innych osób dotkniętych cyberincydentami i zagrożeniami. Aby zareagować na zwiększone narażenie Europy na cyberzagrożenia, dyrektywa 2022/2555, znana również jako NIS2, zastąpiła swoją poprzedniczkę – dyrektywę 2016/1148 lub NIS1. NIS 2 podnosi wspólny unijny poziom ambicji w zakresie cyberbezpieczeństwa dzięki szerszemu zakresowi, jaśniejszym przepisom i silniejszym narzędziom nadzoru. Zobowiązuje on państwa członkowskie do zwiększenia swoich zdolności w zakresie cyberbezpieczeństwa, przy jednoczesnym wprowadzeniu środków zarządzania ryzykiem i wymogów sprawozdawczych dla podmiotów z większej liczby sektorów oraz ustanowieniu zasad współpracy, wymiany informacji, nadzoru i egzekwowania środków w zakresie cyberbezpieczeństwa.
Dyrektywa zobowiązuje każde państwo członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa, która obejmuje politykę bezpieczeństwa łańcucha dostaw, zarządzania podatnościami oraz edukacji i świadomości w zakresie cyberbezpieczeństwa. Państwa członkowskie muszą również ustanowić i regularnie aktualizować wykaz operatorów usług kluczowych, zapewniając przestrzeganie przez te podmioty wymogów dyrektywy.
Oprócz sektorów już objętych NIS 1 – energii, transportu, opieki zdrowotnej, finansów, gospodarki wodnej i infrastruktury cyfrowej – nowe przepisy mają również zastosowanie do dostawców publicznej łączności elektronicznej, większej liczby usług cyfrowych (takich jak platformy społecznościowe), gospodarowania odpadami i ściekami, produkcji produktów o krytycznym znaczeniu, usług pocztowych i kurierskich oraz administracji publicznej zarówno na szczeblu centralnym, jak i regionalnym, a także sektora kosmicznego. Co do zasady średnie i duże podmioty w tych sektorach krytycznych będą musiały wprowadzić odpowiednie środki zarządzania ryzykiem w cyberprzestrzeni i powiadomić odpowiednie organy krajowe o znaczących incydentach. Są to incydenty, które mogą spowodować znaczne zakłócenia lub szkody.
Dyrektywa zawiera również przepisy dotyczące nadzoru, egzekwowania i dobrowolnych wzajemnych ocen w celu zwiększenia wzajemnego zaufania i zdolności w zakresie cyberbezpieczeństwa w całej UE. Wprowadza również odpowiedzialność najwyższego kierownictwa za nieprzestrzeganie środków zarządzania ryzykiem w cyberprzestrzeni, tym samym zwracając uwagę zarządu na cyberbezpieczeństwo.
Dyrektywa ustanawia sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) w celu wymiany informacji na temat cyberzagrożeń i reagowania na incydenty. Zespoły te mają kluczowe znaczenie dla utrzymania orientacji sytuacyjnej i oferowania pomocy. Aby zarządzać cyberincydentami lub kryzysami cybernetycznymi na dużą skalę, w dyrektywie utworzono europejską sieć organizacji łącznikowych ds. kryzysów cybernetycznych (EU-CyCLONe). Sieć ta wspiera skoordynowane zarządzanie i zapewnia regularną wymianę informacji między państwami członkowskimi i instytucjami UE w przypadku incydentów i kryzysów na dużą skalę.
Równolegle grupa współpracy ds. bezpieczeństwa sieci i informacji jest platformą ustanowioną dyrektywą w sprawie bezpieczeństwa sieci i informacji w celu ułatwienia współpracy strategicznej i wymiany informacji między państwami członkowskimi UE, Komisją Europejską i Agencją UE ds. Cyberbezpieczeństwa (ENISA). Grupa publikuje niewiążące wytyczne i zalecenia wspierające wdrażanie dyrektywy w sprawie bezpieczeństwa sieci i informacji.
20 stycznia 2026 r. w ramach nowego pakietu dotyczącego cyberbezpieczeństwa Komisja zaproponowała ukierunkowane zmiany w dyrektywie NIS 2 w celu zwiększenia jasności prawa. Zmiany uproszczą przestrzeganie unijnych przepisów dotyczących cyberbezpieczeństwa i wymogów w zakresie zarządzania ryzykiem przez przedsiębiorstwa prowadzące działalność w UE. Ułatwią one przestrzeganie przepisów 28 700 przedsiębiorstwom, w tym 6 200 mikroprzedsiębiorstwom i małym przedsiębiorstwom.
Kontekst
Dyrektywa NIS 1 (dyrektywa 2016/1148) była pierwszym kompleksowym prawodawstwem UE mającym na celu zwiększenie cyberbezpieczeństwa sieci i systemów informatycznych w celu ochrony podstawowych usług dla gospodarki i społeczeństwa UE. W grudniu 2020 r. Komisja zaproponowała zmianę NIS 1, co doprowadziło do przyjęcia NIS 2, który wszedł w życie w styczniu 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na transpozycję dyrektywy NIS 2 do prawa krajowego. NIS 2 uchylił NIS 1 z dniem 18 października 2024 r.
Najnowsze wiadomości
W dniach 10 i 11 czerwca około 5 tys. ekspertów wzięło udział w ogólnounijnych ćwiczeniach w dziedzinie cyberbezpieczeństwa, aby sprawdzić, w jaki sposób Europa zareaguje na ataki na krytyczną infrastrukturę transportową.
The European Commission welcomes the adoption of the G7 Cybersecurity Working Group Declaration, an important step towards fortifying collective cyber defences against evolving digital threats.
Komisja Europejska opublikowała projekt wytycznych w celu uzyskania informacji zwrotnych, aby pomóc przedsiębiorstwom w wypełnianiu obowiązków wynikających z aktu w sprawie cyberodporności.
Na Światowym Kongresie Mobilnym 2026 Komisja Europejska zaprezentowała EURO-3C, projekt o wartości 75 mln euro mający na celu rozwój pierwszej w Europie wielkoskalowej sfederowanej infrastruktury Telco-Edge-Cloud, wspieranej w ramach programu „Horyzont Europa”.
Podobne tematy
W szerszej perspektywie
Szczegółowe wyjaśnienia
-
Grupa współpracy ds. sieci i systemów informatycznych została ustanowiona na mocy dyrektywy w...
-
Komisja, wraz z Agencją Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, ściśle współpracuje...