Skip to main content
Kształtowanie cyfrowej przyszłości Europy

Dyrektywa NIS 2: nowe przepisy dotyczące cyberbezpieczeństwa sieci i systemów informatycznych

Dyrektywa NIS 2 ustanawia jednolite ramy prawne w celu utrzymania cyberbezpieczeństwa w 18 sektorach krytycznych w całej UE. Wzywa również państwa członkowskie do określenia krajowych strategii cyberbezpieczeństwa i współpracy z UE w zakresie transgranicznego reagowania i egzekwowania przepisów.

Cyberbezpieczeństwo obejmuje ochronę sieci i systemów informatycznych (NIS), ich użytkowników i innych dotkniętych nimi osób przed cyberincydentami i zagrożeniami. Aby zareagować na zwiększone narażenie Europy na cyberzagrożenia, dyrektywa 2022/2555, znana również jako NIS2, zastąpiła swoją poprzedniczkę, dyrektywę 2016/1148 lub NIS1. NIS2 podnosi wspólny poziom ambicji UE w zakresie cyberbezpieczeństwa dzięki szerszemu zakresowi, jaśniejszym zasadom i silniejszym narzędziom nadzoru. Zobowiązano w nim państwa członkowskie do zwiększenia ich zdolności w zakresie cyberbezpieczeństwa, przy jednoczesnym wprowadzeniu środków zarządzania ryzykiem i wymogów sprawozdawczych dla podmiotów z większej liczby sektorów oraz ustanowieniu zasad współpracy, wymiany informacji, nadzoru i egzekwowania środków w zakresie cyberbezpieczeństwa.

Dyrektywa nakazuje, aby każde państwo członkowskie przyjęło krajową strategię cyberbezpieczeństwa, która obejmuje polityki dotyczące bezpieczeństwa łańcucha dostaw, zarządzania podatnością na zagrożenia oraz edukacji i świadomości w zakresie cyberbezpieczeństwa. Państwa członkowskie muszą również ustanowić i regularnie aktualizować wykaz operatorów usług kluczowych, zapewniając zgodność tych podmiotów z wymogami dyrektywy. 

Oprócz sektorów już objętych NIS 1, takich jak energetyka, transport, opieka zdrowotna, finanse, gospodarka wodna i infrastruktura cyfrowa, przepisy te mają zastosowanie do dostawców publicznych usług łączności elektronicznej, większej liczby usług cyfrowych, takich jak platformy społecznościowe, gospodarowanie ściekami i odpadami, wytwarzanie produktów krytycznych, usługi pocztowe i kurierskie, administracja publiczna, zarówno na szczeblu centralnym, jak i regionalnym, lub przestrzeń kosmiczna. Co do zasady średnie i duże podmioty w tych sektorach krytycznych będą musiały wprowadzić odpowiednie środki zarządzania ryzykiem w cyberprzestrzeni i powiadamiać odpowiednie organy krajowe o znaczących incydentach. Są to incydenty, które mogą spowodować znaczne zakłócenia lub szkody. 

Dyrektywa zawiera również przepisy dotyczące nadzoru, egzekwowania przepisów i dobrowolnych wzajemnych ocen w celu zwiększenia wzajemnego zaufania i zdolności w zakresie cyberbezpieczeństwa w całej UE. Wprowadza również odpowiedzialność najwyższego kierownictwa za nieprzestrzeganie środków zarządzania ryzykiem w cyberprzestrzeni, a tym samym zwraca uwagę zarządu na cyberbezpieczeństwo.

Dyrektywa ustanawia sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) w celu wymiany informacji na temat cyberzagrożeń i reagowania na incydenty. Zespoły te mają kluczowe znaczenie dla utrzymania orientacji sytuacyjnej i oferowania pomocy. Aby zarządzać cyberincydentami lub kryzysami w cyberbezpieczeństwie na dużą skalę, w dyrektywie utworzono europejską sieć organizacji łącznikowych ds. cyberkryzysów (EU-CyCLONe). Sieć ta wspiera skoordynowane zarządzanie i zapewnia regularną wymianę informacji między państwami członkowskimi i instytucjami UE w przypadku incydentów i kryzysów na dużą skalę. 

Jednocześnie grupa współpracy ds. bezpieczeństwa sieci i informacji jest platformą ustanowioną dyrektywą w sprawie bezpieczeństwa sieci i informacji w celu ułatwienia strategicznej współpracy i wymiany informacji między państwami członkowskimi UE, Komisją Europejską i Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Grupa publikuje niewiążące wytyczne i zalecenia wspierające wdrażanie dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Kontekst

Dyrektywa NIS 1 (dyrektywa 2016/1148) była pierwszym kompleksowym aktem prawnym UE mającym na celu zwiększenie cyberbezpieczeństwa sieci i systemów informatycznych w celu ochrony usług kluczowych dla gospodarki i społeczeństwa UE. W grudniu 2020 r. Komisja zaproponowała przegląd NIS 1, w wyniku którego przyjęto NIS 2, który wszedł w życie w styczniu 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na transpozycję dyrektywy NIS 2 do prawa krajowego. NIS 2 uchylił NIS1 z dniem 18 października 2024 r.


 

Najnowsze wiadomości

A digital padlock with a circuit board design against a blue background with binary code. It is related to computer security, data security, and cyber security.
  • Komunikat prasowy
  • 07 maj 2025

Komisja Europejska podjęła dziś decyzję o skierowaniu uzasadnionej opinii do 19 państw członkowskich (Bułgarii, Czech, Danii, Niemiec, Estonii, Irlandii, Hiszpanii, Francji, Cypru, Łotwy, Luksemburga, Węgier, Niderlandów, Austrii, Polski, Portugalii, Słowenii, Finlandii i Szwecji) w związku z niedopełnieniem obowiązku zgłoszenia pełnej transpozycji dyrektywy NIS 2 (dyrektywa (UE) 2022/2555).

Person in a suit sitting at a desk holding holographic circle with a scale surrounded. It is surrounded by smaller circles with symbols a book, a gavel, a computer, a file and graphics. On the desk, there is a balance scale and some documents.
  • Press release
  • 11 kwiecień 2025

In an effort to strengthen the EU’s resilience against rising cyber threats, the Commission seeks input to evaluate and revise the 2019 Cybersecurity Act. This initiative reflects the Commission’s ongoing commitment to simplifying rules.

Podobne tematy

W szerszej perspektywie

Unia Europejska działa na różnych frontach, aby promować cyberodporność, chronić naszą komunikację i dane oraz zapewnić bezpieczeństwo społeczeństwa i gospodarki w internecie.

Szczegółowe wyjaśnienia