Nowelizacja ustawy o cyberbezpieczeństwie, wdrażająca przepisy dyrektywy NIS2, wprowadza kilka zmian, w tym nowe i zaostrzone obowiązki oraz rozszerzony zakres podmiotów zobowiązanych, do których nowa ustawa będzie mieć zastosowanie. Choć transpozycja dyrektywy do prawa polskiego jest dopiero na początkowych etapach procesu legislacyjnego, można oczekiwać, że ustawa wejdzie w życie na początku 2025 – dlatego nadszedł już czas, aby zacząć się do tego przygotowywać.
Dyrektywa dotycząca sieci i systemów informacyjnych, powszechnie znana jako NIS2, jest aktem prawnym Unii Europejskiej, określającym zasady i wymagania dotyczące cyberbezpieczeństwa oraz systemów i sieci teleinformatycznych. Dyrektywa ta zastąpiła wcześniejszą dyrektywę (NIS) i obowiązuje od początku 2023. Obok rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (potocznie zwanego rozporządzeniem DORA) i dyrektywy CER, NIS2 jest kolejnym unijnym instrumentem legislacyjnym zmierzającym do zwiększenia cyfrowej odporności operacyjnej i cyberbezpieczeństwa wszystkich istotnych podmiotów działających w UE.
Ostateczny tekst dyrektywy NIS2 opublikowano w Dzienniku Urzędowym UE z 27 grudnia 2022 roku we wszystkich językach urzędowych Unii. Polska transpozycja dyrektywy w postaci nowelizacji do Ustawy o krajowym Systemie Cyberbezpieczeństwa została opublikowana 24 kwietnia 2024. Spotkała się ona z dużym zainteresowaniem środowisk związanych z cyberbezpieczeństwem w tym NGO które zgłosiły wiele uwag to jej treści. Poprawiona wersja nowelizacji została opublikowana 3 października 2024 roku. Niestety 17 października 2024 roku minął termin implementacji dyrektywy do polskiego porządku prawnego, co oznacza, że polscy przedsiębiorcy nadal czekają na oczekiwania regulatora.
Nowe zasady dyrektywy NIS2 będą miały zastosowanie do wszystkich regulowanych dostawców usług, czyli nie tylko do podmiotów wywodzących się z Unii, lecz także do jednostek prowadzących działalność w UE i spełniających kryteria Komisji Europejskiej dotyczące średnich lub dużych przedsiębiorstw (czyli takich, które zatrudniają więcej niż 50 pracowników i osiągają obroty w wysokości co najmniej 10 milionów euro). Zasady dotyczą przedsiębiorstw publicznych i prywatnych reprezentujących sektory krytyczne lub ważne, np. dostawców i dystrybutorów energii elektrycznej, firmy zajmujące się opieką zdrowotną oraz podmioty świadczące usługi komunikacji elektronicznej. W sumie przepisy mają zastosowanie do ponad 60 usług, których opis przedstawiamy poniżej. Szacuje się że w Polsce dyrektywa NIS2 obejmie nawet 20 tys. podmiotów.
Deloitte oferuje usługi prawne i doradcze w zakresie nowych przepisów.