Główna różnica między NIS1 a NIS2 polega na tym, że NIS2 jest nowszą i bardziej kompleksową wersją dyrektywy NIS. Zachowuje fundamenty cyberbezpieczeństwa z pierwotnej regulacji, rozszerzając jednocześnie jej zakres na kluczowe obszary, takie jak m.in. administracja publiczna, sektor kosmiczny, usługi pocztowe i kurierskie, przemysł chemiczny, sektor spożywczy, gospodarka odpadami oraz infrastruktura cyfrowa. NIS2 nakłada również bardziej rygorystyczne obowiązki zarówno na podmioty „kluczowe”, jak i nowo zdefiniowane podmioty „ważne”.
Ale jakie są najważniejsze różnice między NIS1 a NIS2? W jaki sposób organizacje mogą zrozumieć, co się zmieniło i jak przygotować się do spełnienia wymogów? Przeczytanie tego artykułu może być dobrym początkiem.
Co to jest NIS?
Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych (Dyrektywa NIS) to pierwsze kompleksowe prawo Unii Europejskiej dotyczące cyberbezpieczeństwa, przyjęte w 2016 roku. Ustanowiła wspólne wymagania w zakresie bezpieczeństwa oraz obowiązki raportowania incydentów dla Operatorów Usług Kluczowych (OES), takich jak sektor energii, transportu, bankowości, ochrony zdrowia, zaopatrzenia w wodę i infrastruktury cyfrowej, a także dla Dostawców Usług Cyfrowych (DSP), takich jak internetowe platformy handlowe, wyszukiwarki i usługi przetwarzania w chmurze. Dyrektywa wymagała również, aby państwa członkowskie opracowały krajowe strategie cyberbezpieczeństwa, wyznaczyły właściwe organy (np. CSIRT-y) oraz zapewniły terminowe zgłaszanie istotnych incydentów.
Dlaczego dyrektywa NIS1 była ważna?
Dyrektywa NIS stanowiła znaczący krok naprzód w dziedzinie cyberbezpieczeństwa w Unii Europejskiej, mając na celu zapewnienie ochrony infrastruktury krytycznej i kluczowych usług przed cyberzagrożeniami. Od momentu jej wprowadzenia w 2016 roku, dyrektywa NIS stanowi fundament regulacji cyberbezpieczeństwa w UE. Jednak krajobraz cyberbezpieczeństwa ciągle ewoluuje, podobnie jak ramy regulacyjne. Z tego powodu pojawiła się NIS2, zaktualizowana dyrektywa, która zastępuje pierwotną NIS1.
Co to jest NIS2?
NIS2 to zaktualizowana wersja dyrektywy NIS1, opracowana w celu usunięcia niedoskonałości pierwotnych przepisów oraz dostosowania regulacji do dynamicznie zmieniającego się krajobrazu cyberbezpieczeństwa. Oficjalnie określana jako Dyrektywa (UE) 2022/2555, NIS2 podnosi poziom wymagań w zakresie cyberbezpieczeństwa w całej UE oraz rozszerza zakres stosowania przepisów na większą liczbę sektorów i przedsiębiorstw.
Ustawa o krajowym systemie cyberbezpieczeństwa a NIS2
Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) to kluczowy akt prawny w Polsce, który reguluje organizację krajowego systemu odporności na zagrożenia cybernetyczne. Jej celem jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informacyjnych obsługujących usługi o istotnym znaczeniu dla funkcjonowania państwa, w tym usług kluczowych i cyfrowych, poprzez określenie obowiązków podmiotów, zasad zarządzania incydentami oraz mechanizmów współpracy pomiędzy instytucjami. System ten został pierwotnie wprowadzony jako transpozycja dyrektywy NIS z 2018 r., a jego konstrukcja obejmowała m.in. operatorów usług kluczowych, dostawców usług cyfrowych oraz zespoły reagowania na incydenty (CSIRT) i organy właściwe.
W kontekście unijnej dyrektywy NIS2, ustawa o KSC stanowi krajowy fundament cyberbezpieczeństwa, który zapewnia ramy prawne dla wdrażania wymogów UE dotyczących zarządzania ryzykiem, zgłaszania incydentów i ochrony łańcucha dostaw. Ustawa o krajowym systemie cyberbezpieczeństwa łączy polskie rozwiązania prawne z europejskimi standardami i jest integralnym elementem krajowej strategii cyberbezpieczeństwa.
W jaki sposób NIS2 ulepsza NIS1?
Oprócz rozszerzenia zakresu na większą liczbę sektorów, NIS2 podnosi poprzeczkę, wprowadzając bardziej rygorystyczne, przekrojowe wymagania dotyczące cyberbezpieczeństwa i zarządzania. Podmioty muszą wdrażać solidne środki zarządzania ryzykiem, zabezpieczać łańcuchy dostaw, usprawniać raportowanie incydentów poprzez krótsze terminy oraz zapewniać właściwe zarządzanie podatnościami.
Co istotne, NIS2 wprowadza osobistą odpowiedzialność kadry zarządzającej za naruszenia obowiązków oraz znaczące sankcje, w tym kary finansowe i możliwość zawieszenia świadczenia usług. Dyrektywa ustanawia również silniejsze mechanizmy nadzoru i egzekwowania na poziomie całej UE, obejmujące m.in. ulepszoną współpracę transgraniczną oraz mechanizmy koordynacji reagowania na cyberkryzysy, takie jak EU‑CYCLONe.
NIS2 vs. NIS1: Tabela różnic
Aby lepiej zrozumieć różnice między dyrektywami NIS2 a NIS1, przyjrzyjmy się najważniejszym zmianom:
| Aspekt | NIS1 | NIS2 |
|---|---|---|
| Zakres | Dotyczy ograniczonej liczby sektorów kluczowych, takich jak energetyka, transport, opieka zdrowotna i finanse. | Rozszerzona o więcej sektorów, m.in. bezpieczeństwo żywności, infrastrukturę cyfrową, usługi pocztowe i wiele innych. |
| Wymóg MFA | Brak wyraźnego wymogu uwierzytelniania wieloskładnikowego (MFA). | Wymaga MFA w art. 21 ust. 2 lit. j) |
| Objęte sektory | Tylko sektory kluczowe. | Sektory kluczowe i ważne, obejmujące przedsiębiorstwa średnie i duże. |
| Minimalne wymagania bezpieczeństwa | Mniej szczegółowe, szerokie wytyczne. | Konkretniejsze i bardziej szczegółowe wymagania infrastrukturalne. |
| Zarządzanie ryzykiem | Skupienie na ogólnych praktykach zarządzania ryzykiem. | Wprowadzenie szczegółowego podejścia do zarządzania ryzykiem. |
| Zgłaszanie incydentów | Wymagane, ale mniej ujednolicone w państwach członkowskich. | Bardziej rygorystyczne i ustandaryzowane, np. zgłoszenie w ciągu 24h i szczegółowy raport w ciągu 72h. |
| Bezpieczeństwo łańcucha dostaw | Ograniczone cele związane z ryzykiem w łańcuchu dostaw. | Większy nacisk na bezpieczeństwo łańcucha dostaw i relacje z dostawcami. |
| Nadzór i egzekwowanie | Zróżnicowane egzekwowanie przepisów w państwach członkowskich. | Bardziej jednolite i surowe mechanizmy nadzoru i egzekwowania prawa. |
| Kary za niezgodność | Szczegóły kar pozostawione do decyzji poszczególnych państw. | Jednolite i surowe kary, m.in. do 10 mln EUR lub 2% globalnych przychodów. |
| Ład korporacyjny i odpowiedzialność | Ogólne oczekiwania wobec organizacji. | Jasne struktury zarządcze; zarząd odpowiada za osiągnięcie zgodności i wdrażanie cyberbezpieczeństwa. |
| Współpraca między państwami | Ograniczona współpraca i wymiana informacji. | Wzmocniona współpraca, w tym inicjatywy takie jak EU‑CyCLONe. |
| Cyberhigiena i świadomość | Niewielki nacisk na szkolenia i świadomość pracowników. | Silniejszy nacisk na cyberhigienę i regularne szkolenia pracowników. |
Kluczowe różnice między NIS1 a NIS2
1. Rozszerzony zakres stosowania
Jedną z najważniejszych zmian wprowadzonych przez NIS2 jest rozszerzenie zakresu dyrektywy.
Podczas gdy NIS1 obejmowała wyłącznie operatorów usług kluczowych w wybranych sektorach, NIS2 rozszerza regulacje na dodatkowe branże oraz szerszą grupę dostawców usług cyfrowych. Oznacza to, że zakresem dyrektywy zostało objętych wiele nowych sektorów, między innymi:
- administrację publiczną
- sektor kosmiczny
- sektor pocztowy i kurierski
- sektor żywności
- sektor chemikaliów
- sektor ICT i dostawców usług IT
- gospodarkę odpadami
Włączenie tych sektorów odzwierciedla rosnące znaczenie infrastruktury cyfrowej oraz potrzebę zwiększenia odporności sieci i systemów informacyjnych w całej Unii Europejskiej.
2. Wyraźny wymóg stosowania uwierzytelniania wieloskładnikowego (MFA)
Artykuł 21 ust. 2 lit. j dyrektywy NIS2 wprowadza obowiązek stosowania uwierzytelniania wieloskładnikowego (MFA) w stosownych przypadkach w celu zabezpieczenia komunikacji głosowej, tekstowej i wideo, a także wewnętrznych systemów komunikacji wykorzystywanych w sytuacjach nadzwyczajnych.
Artykuł 21 dyrektywy NIS2 podkreśla również konieczność ochrony zasobów ludzkich, egzekwowania polityk kontroli dostępu, zarządzania aktywami oraz zabezpieczania łańcuchów dostaw, czyli obszarów, które mogą być dodatkowo wzmocnione poprzez stosowanie MFA.
3. Bardziej precyzyjne wymagania dotyczące bezpieczeństwa
NIS1 zawierała jedynie ogólne wytyczne dotyczące środków bezpieczeństwa, natomiast NIS2 idzie o krok dalej, określając szczegółowe minimalne wymagania, które organizacje muszą wdrożyć. Wymagania te mają zapewnić, że wszystkie objęte dyrektywą podmioty stosują podejście oparte na zarządzaniu ryzykiem, obejmujące środki techniczne, operacyjne i organizacyjne. Zmiana ta ułatwia organizacjom zrozumienie oczekiwań regulacyjnych i przyczynia się do osiągnięcia bardziej jednolitego poziomu bezpieczeństwa w całej Unii Europejskiej.
4. Silniejszy nacisk na bezpieczeństwo łańcucha dostaw
NIS2 kładzie znacznie większy nacisk na bezpieczeństwo łańcucha dostaw, uznając, że podatności występujące u dostawców mogą stanowić istotne źródło ryzyka. Organizacje są obecnie zobowiązane do uwzględniania zagrożeń wynikających ze współpracy z zewnętrznymi dostawcami i usługodawcami. Obejmuje to przeprowadzanie szczegółowych ocen ryzyka oraz zapewnienie, że dostawcy spełniają wymagane standardy bezpieczeństwa.
5. Zarządzanie i odpowiedzialność
Dyrektywa NIS2 wprowadza bardziej przejrzyste struktury zarządzania oraz mechanizmy odpowiedzialności w organizacjach. Organy zarządzające są obecnie zobowiązane do zatwierdzania środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa i mogą ponosić odpowiedzialność za ich niewłaściwe wdrożenie. Zmiana ta sprawia, że cyberbezpieczeństwo staje się priorytetem na najwyższym szczeblu kierowniczym, co przekłada się na skuteczniejsze wdrażanie praktyk bezpieczeństwa.
6. Współpraca między państwami członkowskimi
NIS2 kładzie większy nacisk na współpracę i wymianę informacji pomiędzy państwami członkowskimi UE. Dyrektywa ustanawia Europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), której zadaniem jest wspieranie skoordynowanych działań w odpowiedzi na incydenty cyberbezpieczeństwa o dużej skali. Sieć ta umożliwia spójne i skuteczne podejście do reagowania na poważne zagrożenia cybernetyczne w całej Unii Europejskiej.
7. Ramy czasowe dotyczące raportowania incydentów
Zgodnie z NIS2 organizacje muszą przestrzegać bardziej precyzyjnych terminów zgłaszania incydentów. Znaczące incydenty muszą zostać zgłoszone w ciągu 24 godzin od ich wykrycia, a szczegółowy raport powinien zostać przekazany w ciągu kolejnych 72 godzin. Ujednolicone ramy czasowe zapewniają szybkie i spójne reagowanie na incydenty cyberbezpieczeństwa w całej Unii Europejskiej.
8. Oczekiwania dotyczące bezpieczeństwa oparte na ryzyku z uwzględnieniem specyfiki sektorowej
NIS2 rozszerza zakres podmiotów objętych regulacją i wprowadza zunifikowane, oparte na ryzyku wymagania z zakresu cyberbezpieczeństwa, które mają zastosowanie we wszystkich sektorach. Choć podstawowe obowiązki są wspólne, organizacje z różnych branż muszą ocenić swój profil ryzyka i wdrożyć odpowiednie środki dostosowane do specyfiki ich działalności i charakteru zagrożeń. Takie podejście sprzyja skutecznym i adekwatnym praktykom bezpieczeństwa bez narzucania odrębnych zestawów technicznych zasad dla każdej branży.
9. Cyberhigiena i świadomość pracowników
NIS2 kładzie większy nacisk na promowanie cyberhigieny oraz podnoszenie świadomości wśród pracowników. Organizacje są obecnie zobowiązane do prowadzenia regularnych szkoleń i programów edukacyjnych, aby zapewnić, że personel jest dobrze poinformowany o zagrożeniach cyberbezpieczeństwa oraz najlepszych praktykach. Skupienie się na świadomości pracowników pomaga budować kulturę bezpieczeństwa w organizacji, zmniejszając prawdopodobieństwo skutecznych cyberataków.
10. Współpraca międzynarodowa
NIS2 zachęca również do współpracy z państwami trzecimi oraz organizacjami międzynarodowymi w celu wzmocnienia globalnej odporności na zagrożenia cyberbezpieczeństwa. Poprzez rozwijanie współpracy wykraczającej poza granice UE, NIS2 dąży do zwiększenia zdolności do wspólnego przeciwdziałania globalnym zagrożeniom cybernetycznym.
Podsumowanie
NIS2 stanowi istotny krok naprzód w stosunku do pierwotnej dyrektywy NIS, odpowiadając na jej niedoskonałości oraz dostosowując regulacje do współczesnego krajobrazu cyberbezpieczeństwa. Rozszerzony zakres stosowania, bardziej precyzyjne wymagania bezpieczeństwa, silniejszy nacisk na bezpieczeństwo łańcucha dostaw oraz surowsze mechanizmy egzekwowania czynią NIS2 bardziej kompleksowym i solidnym ramowym systemem ochrony infrastruktury krytycznej oraz usług kluczowych w całej Unii Europejskiej. Ponadto NIS2 wprowadza bardziej przejrzyste struktury zarządzania, wzmacnia współpracę między państwami członkowskimi oraz kładzie większy nacisk na cyberhigienę i współpracę międzynarodową.