Dyrektywa NIS2 - czym jest, kogo dotyczy i jakie są jej kluczowe założenia
Dyrektywa NIS2 to akt prawny Unii Europejskiej, który zastępuje wcześniejszą dyrektywę NIS z 2016 roku. Jej celem jest wzmocnienie bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich UE. Termin implementacji nowych wymagań minął 17 października 2024 roku, jednak na gruncie polskiego prawa przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zostanie wprowadzona w pierwszym kwartale 2025 roku.
NIS2 ma na celu ujednolicenie przepisów dotyczących cyberbezpieczeństwa w całej Unii Europejskiej, poprzez ustalenie wspólnych standardów, procedur oraz wymagań w zakresie ochrony danych i reagowania na incydenty cybernetyczne. Nowa dyrektywa wprowadza bardziej rygorystyczne wymagania w porównaniu do poprzedniej, obejmując swoim zakresem większą liczbę sektorów i przedsiębiorstw.
Kogo obowiązuje dyrektywa NIS2
-
Średnie i duże
przedsiębiorstwa.
Dyrektywa NIS2 nakłada obowiązki głównie na średnie i duże firmy w sektorach kluczowych i ważnych.
- Sektory kluczowe to m.in. przedsiębiorstwa związane z energetyką, transportem, bankowością, administracją publiczną, opieką zdrowotną.
- Sektory ważne to m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja wyrobów medycznych, optycznych i elektronicznych.
-
Małe i mikroprzedsiębiorstwa.
Z założenia są wyłączone z obowiązków NIS2, za wyjątkiem firm działających w sektorach wrażliwych, które:
- są dostawcami usług zaufania,
- są dostawcami usług DNS z wyłączeniem operatorów głównych serwerów nazw,
- prowadzą rejestry nazw TLD,
- są podmiotami administracji publicznej na szczeblu centralnym,
- są podmiotami krytycznymi według dyrektywy CER.
Kluczowe założenia dyrektywy NIS2
-
Szerszy zakres podmiotów.
W przeciwieństwie do pierwszej dyrektywy NIS, która obejmowała tylko kluczowe sektory, NIS2 rozszerza zakres i dzieli je dwie grupy: podmioty kluczowe oraz podmioty ważne, przy czym podmioty kluczowe podlegają bardziej rygorystycznym wymogom.
-
Podniesienie standardów
bezpieczeństwa.
Dyrektywa zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu ryzykiem i określając podstawowe środki bezpieczeństwa cybernetycznego, które muszą wprowadzić wszystkie organizacje objęte zakresem dyrektywy.
-
Obowiązek raportowania
incydentów.
Podmioty kluczowe i ważne będą zobowiązane do zgłaszania poważnych incydentów w ściśle określonych terminach do odpowiednich organów. Te organizacje mogą także być zobowiązane do informowania swoich klientów o wystąpieniu incydentu oraz w szczególnych przypadkach nawet o zaistnieniu zagrożenia.
-
Większa odpowiedzialność organów
zarządzających.
Silniejszy nacisk na organy zarządzające spółek objętych zakresem działania, w ramach którego państwa członkowskie muszą zapewnić, że takie organy zarządzające mogą zostać pociągnięte do odpowiedzialności za naruszenie przez podmiot przepisów dotyczących tych środków.
-
Zarządzanie zagrożeniami w łańcuchach
dostaw.
Organizacje objęte NIS2 muszą wdrożyć środki zabezpieczające łańcuchy dostaw oraz zadbać o bezpieczeństwo relacji z kontrahentami, aby ograniczyć ryzyko na wszystkich etapach dostarczania usług.
-
Zwiększenie nadzoru i jednolitości
przepisów.
NIS2 wprowadza silniejsze środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa oraz harmonizację systemów sankcji i obowiązków sprawozdawczych w krajach członkowskich, a także wzmacnia mechanizmy współpracy międzynarodowej i wymiany informacji.
Zobacz także
Od 1 stycznia 2025 zacznie obowiązywać tzw. procedura SME (Small Medium-sized Enterprise), umożliwiająca małym i średnim firmom korzystanie ze zwolnienia VAT nie tylko w kraju, w którym mają siedzibę, ale także w innych państwach członkowskich Unii Europejskiej. W związku z tym Ministerstwo Finansów zapowiedziało zmiany w przepisach dotyczących wystawiania faktur. Nowe regulacje w tym zakresie mają być zgodne z zasadami procedury SME.
W Dzienniku Ustaw opublikowano rozporządzenie Ministra Finansów wprowadzające zmiany w prowadzeniu podatkowej księgi przychodów i rozchodów (KPiR). Przedstawiamy najważniejsze zmiany.
Nowe przepisy dotyczące Jednolitego Pliku Kontrolnego dla podatku dochodowego osób prawnych (JPK CIT) wprowadzają istotne zmiany w sposobie raportowania danych finansowych. Nowelizacja obejmuje bardziej szczegółowe wymagania dotyczące danych, jakie firmy będą musiały przekazywać urzędom skarbowym.
Rząd przyjął projekt ustawy dotyczącej zmian w składce zdrowotnej. Zakłada on, że od 1 stycznia 2025 przychód przedsiębiorcy pochodzący ze sprzedaży środków trwałych (np. nieruchomości), nie będzie uwzględniany w podstawie wymiaru składki na ubezpieczenie zdrowotne.
Ministerstwo Finansów (MF) zapowiedziało zmiany w Krajowym Systemie e-Faktur. Dotyczą one m.in. sposobu jego obowiązkowego wdrażania, a także odroczenia niektórych z planowanych rozwiązań.
Od 1 stycznia 2025 przedsiębiorcy zyskają możliwość korzystania z kasowej metody rozliczania, co oznacza, że podatek dochodowy od osób fizycznych będą płacić dopiero po faktycznym otrzymaniu płatności od swojego kontrahenta. Co więcej, będą mogli potrącać koszty uzyskania przychodów po dokonaniu zapłaty za otrzymany towar lub wykonaną usługę.
Obowiązek elektronicznego prowadzenia i przesyłania ksiąg do urzędów skarbowych w jednolitej strukturze logicznej ma na celu uproszczenie procesów podatkowych oraz zwiększenie przejrzystości i efektywności kontroli. Z poniższego tekstu dowiesz się m.in. kogo dotyczy, od kiedy i jaki jest zakres i forma przesyłanych danych.