Dyrektywa NIS2 - czym jest, kogo dotyczy i jakie są jej kluczowe założenia
Dyrektywa NIS2 to akt prawny Unii Europejskiej, który zastępuje wcześniejszą dyrektywę NIS z 2016 roku. Jej celem jest wzmocnienie bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich UE. Termin implementacji nowych wymagań minął 17 października 2024 roku, jednak na gruncie polskiego prawa przepisy zaczną obowiązywać dopiero po nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zostanie wprowadzona w pierwszym kwartale 2025 roku.
NIS2 ma na celu ujednolicenie przepisów dotyczących cyberbezpieczeństwa w całej Unii Europejskiej, poprzez ustalenie wspólnych standardów, procedur oraz wymagań w zakresie ochrony danych i reagowania na incydenty cybernetyczne. Nowa dyrektywa wprowadza bardziej rygorystyczne wymagania w porównaniu do poprzedniej, obejmując swoim zakresem większą liczbę sektorów i przedsiębiorstw.
Kogo obowiązuje dyrektywa NIS2
-
Średnie i duże
przedsiębiorstwa.
Dyrektywa NIS2 nakłada obowiązki głównie na średnie i duże firmy w sektorach kluczowych i ważnych.
- Sektory kluczowe to m.in. przedsiębiorstwa związane z energetyką, transportem, bankowością, administracją publiczną, opieką zdrowotną.
- Sektory ważne to m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja wyrobów medycznych, optycznych i elektronicznych.
-
Małe i mikroprzedsiębiorstwa.
Z założenia są wyłączone z obowiązków NIS2, za wyjątkiem firm działających w sektorach wrażliwych, które:
- są dostawcami usług zaufania,
- są dostawcami usług DNS z wyłączeniem operatorów głównych serwerów nazw,
- prowadzą rejestry nazw TLD,
- są podmiotami administracji publicznej na szczeblu centralnym,
- są podmiotami krytycznymi według dyrektywy CER.
Kluczowe założenia dyrektywy NIS2
-
Szerszy zakres podmiotów.
W przeciwieństwie do pierwszej dyrektywy NIS, która obejmowała tylko kluczowe sektory, NIS2 rozszerza zakres i dzieli je dwie grupy: podmioty kluczowe oraz podmioty ważne, przy czym podmioty kluczowe podlegają bardziej rygorystycznym wymogom.
-
Podniesienie standardów
bezpieczeństwa.
Dyrektywa zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu ryzykiem i określając podstawowe środki bezpieczeństwa cybernetycznego, które muszą wprowadzić wszystkie organizacje objęte zakresem dyrektywy.
-
Obowiązek raportowania
incydentów.
Podmioty kluczowe i ważne będą zobowiązane do zgłaszania poważnych incydentów w ściśle określonych terminach do odpowiednich organów. Te organizacje mogą także być zobowiązane do informowania swoich klientów o wystąpieniu incydentu oraz w szczególnych przypadkach nawet o zaistnieniu zagrożenia.
-
Większa odpowiedzialność organów
zarządzających.
Silniejszy nacisk na organy zarządzające spółek objętych zakresem działania, w ramach którego państwa członkowskie muszą zapewnić, że takie organy zarządzające mogą zostać pociągnięte do odpowiedzialności za naruszenie przez podmiot przepisów dotyczących tych środków.
-
Zarządzanie zagrożeniami w łańcuchach
dostaw.
Organizacje objęte NIS2 muszą wdrożyć środki zabezpieczające łańcuchy dostaw oraz zadbać o bezpieczeństwo relacji z kontrahentami, aby ograniczyć ryzyko na wszystkich etapach dostarczania usług.
-
Zwiększenie nadzoru i jednolitości
przepisów.
NIS2 wprowadza silniejsze środki nadzoru dla organów krajowych, bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa oraz harmonizację systemów sankcji i obowiązków sprawozdawczych w krajach członkowskich, a także wzmacnia mechanizmy współpracy międzynarodowej i wymiany informacji.
Zobacz także
Ministerstwo Finansów przedstawiło zaktualizowany harmonogram wdrażania Krajowego Systemu e-Faktur (KSeF). Poznaj terminy wprowadzenia obowiązkowego systemu.
Zmiana danych osobowych lub adresowych pracownika może wymagać aktualizacji w dokumentach ubezpieczeniowych przekazywanych do ZUS. Sprawdź, jakie kroki należy podjąć w przypadku zmiany danych, jakie formularze złożyć i w jakim terminie.
Ministerstwo Finansów przedstawiło aktualny stan oraz plan wdrażania Krajowego Systemu e-Faktur (KSeF). Do 25 kwietnia można zgłaszać uwagi i opinie dotyczące projektu.
Osoby posiadające Indywidualne Konto Zabezpieczenia Emerytalnego (IKZE) mają możliwość skorzystania z ulgi podatkowej przy rocznym rozliczeniu PIT. Ulga ta pozwala na odliczenie wpłat na IKZE od podstawy opodatkowania, co może obniżyć należny podatek. Kto może z niej skorzystać i jakie są limity odliczeń?
Jednostki mikro mogą korzystać z uproszczonych zasad sprawozdawczości finansowej. Zasady te mają na celu ułatwienie prowadzenia księgowości oraz dostosowanie obowiązków sprawozdawczych do skali działalności małych podmiotów gospodarczych.
Od 1 kwietnia 2025 firmy, które zostały zarejestrowane w Krajowym Rejestrze Sądowym (KRS) do końca poprzedniego roku, zostaną objęte obowiązkiem posiadania skrzynek do e-Doręczeń oraz korzystania z nich.
Deklaracja ZUS DRA to obowiązkowy dokument dla osób prowadzących działalność gospodarczą, służący do rozliczenia składek na ubezpieczenia społeczne i zdrowotne. Prawidłowe złożenie deklaracji jest kluczowe dla uniknięcie błędów w rozliczeniach z ZUS. Kto musi ją składać i do kiedy należy to zrobić?
