Uchwalona w grudniu 2022 roku przez Parlament Europejski Dyrektywa NIS2 jest nowelizacją dyrektywy NIS, która została przyjęta w 2016 roku i miała na celu zwiększenie poziomu cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej.
Dyrektywa NIS ustanowiła trzy główne filary cyberbezpieczeństwa europejskiego: współpracę międzynarodową, współpracę krajową oraz obowiązek raportowania incydentów i zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych. Dyrektywa NIS2 znacznie rozszerza zakres podmiotowy oraz zaostrza zapisy dotyczące działań jakie należy podjąć w celu zapewnienia zgodności z jej wymaganiami.
Dyrektywa NIS2 obejmuje podmioty świadczące usługi istotne dla funkcjonowania społeczeństwa i gospodarki w takich sektorach jak: energetyka, transport, bankowość, dystrybucję wody, opieka zdrowotna i infrastruktura cyfrowa, administracja publiczna, sektor żywności, ścieki, przemysł (np. elektroniczny, maszynowy, silnikowy, farmaceutyczny), zarządzanie odpadami i przestrzeń kosmiczna. Dyrektywa NIS2 wprowadza szereg zmian w zakresie obowiązku stosowania środków zapewnienia cyberbezpieczeństwa w stosunku do tych podmiotów.
Jednym z głównych celów nowej dyrektywy jest zwiększenie liczby podmiotów objętych regulacjami dotyczącymi bezpieczeństwa cybernetycznego. Oznacza to, że więcej firm będzie musiało wdrożyć odpowiednie procedury i systemy zabezpieczające oraz przeszkolić swoich pracowników. O ile w ramach dyrektywy NIS obowiązek ten dotyczy kilkuset firm w Polsce, to w przypadku NIS2 dyrektywa dotyczy co najmniej kilkunastu tysięcy firm. Wprowadzenie dyrektywy NIS2 dla polskich firm oznacza, że będą one musiały spełniać nowe wymagania, np. w zakresie bezpieczeństwa sieci i systemów informatycznych.
Od października 2024 roku polskie firmy będą zobowiązane między innymi do:
- wykrywania, monitorowania oraz zgłaszania incydentów związanych z bezpieczeństwem do odpowiednich organów bezpieczeństwa krajowego,
- wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zarządzanie podatnościami oraz przeciwdziałaniu skutków ataków cybernetycznych,
- regularnego testowania odporności własnej firmy na zagrożenia oraz kooperantów,
- zarządzania ryzykiem w cyberbezpieczeństwie,
- wykorzystywania szyfrowania w celu przetwarzania informacji.