Dyrektywa NIS-2 (Network and Information Systems Directive 2) jest zaktualizowaną wersją pierwszej Dyrektywy NIS, która została wprowadzona przez Unię Europejską w 2016 roku.
Celem obu wersji jest wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa NIS-2 została przyjęta w 2022 roku i stanowi odpowiedź na rosnące zagrożenia związane z cyberatakami oraz potrzebę bardziej jednolitego i skutecznego podejścia do ochrony infrastruktury krytycznej.
Kluczowe założenia NIS-2:
Zakres podmiotowy: NIS-2 rozszerza krąg organizacji objętych obowiązkami dotyczącymi cyberbezpieczeństwa. Dotyczy nie tylko firm z sektora krytycznego (jak energetyka, transport, zdrowie), ale również szeregu innych podmiotów, w tym dostawców usług cyfrowych, dostawców technologii oraz usług chmurowych.
Większa harmonizacja regulacji: NIS-2 wprowadza bardziej jednolite wymogi dotyczące cyberbezpieczeństwa w całej Unii Europejskiej, co ma na celu ujednolicenie przepisów krajowych. Zobowiązuje kraje członkowskie do ścisłej współpracy oraz harmonizacji przepisów.
Obowiązki zarządzania ryzykiem: Organizacje objęte dyrektywą NIS-2 są zobowiązane do wdrożenia odpowiednich środków zarządzania ryzykiem cybernetycznym, co obejmuje zarówno zabezpieczenia techniczne, jak i proceduralne.
Sankcje i nadzór: Dyrektywa wprowadza bardziej rygorystyczny nadzór oraz możliwość nakładania wysokich kar na organizacje, które nie spełniają wymogów. Kary te mogą być finansowe, ale również mogą obejmować inne środki, jak np. wprowadzenie planów naprawczych.
Zgłaszanie incydentów: Organizacje są zobowiązane do zgłaszania poważnych incydentów cybernetycznych w ściśle określonych terminach, co ma na celu szybszą reakcję i ograniczenie skutków ataków.
Rola ENISA: Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) ma w ramach NIS-2 większą rolę w monitorowaniu i wspieraniu państw członkowskich oraz organizacji w zakresie cyberbezpieczeństwa.
Główne sektory objęte dyrektywą NIS-2:
Energia (elektryczność, gaz, ropa naftowa)
Transport (lotniczy, kolejowy, wodny, drogowy)
Zdrowie (szpitale, laboratoria)
Woda (woda pitna i ścieki)
Bankowość i rynki finansowe
Infrastruktura cyfrowa (chmura, centra danych, dostawcy łączności)
Dyrektywa NIS-2 ma na celu zwiększenie odporności organizacji na zagrożenia cybernetyczne oraz budowę wspólnego, silnego systemu cyberbezpieczeństwa w całej Unii Europejskiej. Państwa członkowskie UE mają czas do końca 2024 roku na wdrożenie jej postanowień do prawa krajowego.