Przejdź do głównej treści

Dyrektywa NIS2 i nowa ustawa o cyberbezpieczeństwie

Deloitte oferuje usługi prawne i doradcze w zakresie nowych przepisów.

Nowelizacja ustawy o cyberbezpieczeństwie, wdrażająca przepisy dyrektywy NIS2, wprowadza kilka zmian, w tym nowe i zaostrzone obowiązki oraz rozszerzony zakres podmiotów zobowiązanych, do których nowa ustawa będzie mieć zastosowanie.  Choć transpozycja dyrektywy do prawa polskiego jest dopiero na początkowych etapach procesu legislacyjnego, można oczekiwać, że ustawa wejdzie w życie na początku 2025 – dlatego nadszedł już czas, aby zacząć się do tego przygotowywać.

Czym jest dyrektywa NIS2 i jaki ma związek z ustawą o cyberbezpieczeństwie?
 

Dyrektywa dotycząca sieci i systemów informacyjnych, powszechnie znana jako NIS2, jest aktem prawnym Unii Europejskiej, określającym zasady i wymagania dotyczące cyberbezpieczeństwa oraz systemów i sieci teleinformatycznych. Dyrektywa ta zastąpiła wcześniejszą dyrektywę (NIS) i obowiązuje od początku 2023.  Obok rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (potocznie zwanego rozporządzeniem DORA) i dyrektywy CER, NIS2 jest kolejnym unijnym instrumentem legislacyjnym zmierzającym do zwiększenia cyfrowej odporności operacyjnej i cyberbezpieczeństwa wszystkich istotnych podmiotów działających w UE. 

Ostateczny tekst dyrektywy NIS2 opublikowano w Dzienniku Urzędowym UE z 27 grudnia 2022 roku we wszystkich językach urzędowych Unii. Polska transpozycja dyrektywy w postaci nowelizacji do Ustawy o krajowym Systemie Cyberbezpieczeństwa została opublikowana 24 kwietnia 2024. Spotkała się ona z dużym zainteresowaniem środowisk związanych z cyberbezpieczeństwem w tym NGO które zgłosiły wiele uwag to jej treści. Poprawiona wersja nowelizacji została opublikowana 3 października 2024 roku. Niestety 17 października 2024 roku minął termin implementacji dyrektywy do polskiego porządku prawnego, co oznacza, że polscy przedsiębiorcy nadal czekają na oczekiwania regulatora.

Kogo dotyczy dyrektywa NIS2 i nowa ustawa o cyberbezpieczeństwie?
 

Nowe zasady dyrektywy NIS2 będą miały zastosowanie do wszystkich regulowanych dostawców usług, czyli nie tylko do podmiotów wywodzących się z Unii, lecz także do jednostek prowadzących działalność w UE i spełniających kryteria Komisji Europejskiej dotyczące średnich lub dużych przedsiębiorstw (czyli takich, które zatrudniają więcej niż 50 pracowników i osiągają obroty w wysokości co najmniej 10 milionów euro). Zasady dotyczą przedsiębiorstw publicznych i prywatnych reprezentujących sektory krytyczne lub ważne, np. dostawców i dystrybutorów energii elektrycznej, firmy zajmujące się opieką zdrowotną oraz podmioty świadczące usługi komunikacji elektronicznej. W sumie przepisy mają zastosowanie do ponad 60 usług, których opis przedstawiamy poniżej. Szacuje się że w Polsce dyrektywa NIS2 obejmie nawet 20 tys. podmiotów.

Group of happy business people discussing papers at meeting; Shutterstock ID 220546936; PO: LPX15962-01-01-0000; Job: Potentials for D.com; Other:  Alexa Steinberg
Close-up of corporate business people working at the table analyzing graph; Shutterstock ID 152612291; PO: LPX15962-01-01-0000; Job: Potentials for D.com; Other:  Alexa Steinberg

Jak możemy pomóc?

 

Deloitte oferuje usługi prawne i doradcze w zakresie nowych przepisów. 

  • Analiza wpływu prawnego: Ocenimy, czy dyrektywa NIS2 może w jakikolwiek sposób wpłynąć na Państwa działalność, i doradzimy konkretne działania, które należy podjąć, aby dostosować się do nowych wymagań.
  • Doradztwo prawne: Udzielimy Państwu porad prawnych w związku z dyrektywą NIS2 (m.in. na temat podstawowych wymagań dotyczących przedsiębiorstwa) oraz wskażemy, jak można je spełnić.
  • Doradztwo w zakresie dotacji: Zbadamy możliwości wykorzystania dostępnych funduszy na wsparcie wdrażania odpowiednich środków cyberbezpieczeństwa, zarówno na poziomie europejskim, jak i krajowym. Świadczymy też inne usługi prawne związane z oceną kwalifikowalności funduszy oraz przygotowaniem i składaniem wniosków o wsparcie finansowe.
  • Dokumentacja umów: Przygotowujemy niezbędną dokumentację umów wymaganą na mocy dyrektywy NIS2 w celu ochrony Państwa krytycznej infrastruktury informatycznej.
  • Szkolenia i edukacja: Przeprowadzimy szkolenia dla kadr kierowniczych i przedstawicieli organów statutowych Państwa organizacji, aby osoby te zrozumiały dyrektywę NIS2 i jej wpływ oraz mogły podejmować odpowiednie działania.
  • Reprezentacja: Możemy występować w Państwa imieniu przed organami publicznymi, zwłaszcza w kwestiach ochrony praw i interesów Państwa organizacji.  Świadczymy również inne usługi związane z procesem legislacyjnym – np. w zakresie monitoringu legislacyjnego, analiz wpływu i planowania strategicznego oraz kontaktów z organami publicznymi w celu ochrony interesów Państwa przedsiębiorstwa. 

Wdrożenie dyrektywy NIS2 dla wielu firm wiąże się przede wszystkim z koniecznością dostosowania procesów biznesowych, struktury organizacyjnej, zasobów kadrowych i bazy technologicznej do nowych wymagań. Klientom oferujemy szeroki wachlarz usług związanych z otoczeniem regulacyjnym.  W ramach naszych prac wykorzystujemy sprawdzone, autorskie rozwiązania pozwalające skutecznie wskazać słabe punkty oraz ustalić hierarchię wymaganych działań. Przykładem takiego rozwiązania jest nasze narzędzie oceny dojrzałości NIS2 – Deloitte NIS2 Maturity Assessment Tool  lub narzędzie oceny dojrzałości w zakresie dyrektywy NIS2 i Ustawy o Krajowym Systemie Cyberbezpieczeństwa (obecnie w przygotowaniu).

  • Analiza dojrzałości: Przeanalizujemy istniejące procesy, aplikacje oraz bezpieczeństwo personelu w kontekście dyrektywy NIS2.
  • Mapa drogowa wdrożenia: Zaprojektujemy plan wdrożenia w zakresie dyrektywy NIS2, który dostosujemy do indywidualnych potrzeb, z uwzględnieniem gotowości technologicznej i organizacyjnej Państwa firmy.  Jeśli chodzi o zastosowanie nowoczesnych technologii, często rekomendujemy usługi w chmurze i ich optymalną kombinację z tradycyjną infrastrukturą teleinformatyczną przedsiębiorstwa (np. połączenie AWS, MS Azure, M365 z infrastrukturą na lokalnych serwerach).
  • Inne technologie: Przeprowadzimy ocenę informatyczną, biznesową i finansową opcji do rozważenia. 
  • Propozycje zmian: Zaproponujemy konkretne zmiany na poziomie całości i poszczególnych domen i omówimy je z Państwem.
  • Plan wdrożenia: Opracujemy szczegółowy plan wdrożenia, który dostosujemy do indywidualnych potrzeb, z uwzględnieniem środowiska kulturowego i technologicznego w Państwa firmie.

Po przygotowaniu planu wdrożenia zazwyczaj pomagamy klientowi w procesie wdrażania i integracji technologii lokalnych oraz chmury.  Uważamy, że technologie chmurowe istotnie usprawniają wprowadzenie zasad NIS2 w biznesie. Mamy praktyczne doświadczenie w zakresie implementacji M365, Azure, AWS, GCP na małą i większą skalę oraz w zakresie wielu innych chmurowych usług SaaS w obszarze cyberbezpieczeństwa. Przeprowadzaliśmy także projekty skoncentrowane na synergii bezpieczeństwa i IT z różnymi procesami biznesowymi.

 

  • W jaki sposób zaangażujemy się w projekt?  Wspólnie zaplanujemy formę i zakres naszego zaangażowania w zależności od potrzeb i oczekiwań Państwa organizacji.
  • Kontekst firmy: Zmapujemy Państwa organizację, wpływ dyrektywy NIS2 i powiązanych z nią przepisów dotyczących cyberbezpieczeństwa na biznes, także w kontekście kadrowym, finansowym i technologicznym firmy.
  • Zbieranie informacji: Zbierzemy informacje o cyberbezpieczeństwie w Państwa przedsiębiorstwie, zwłaszcza w odniesieniu do zasobów teleinformatycznych, powiązanych z nimi zagrożeń, ról zawodowych i procedur oraz innych aspektów.
  • Zagrożenia dotyczące bezpieczeństwa: Zidentyfikujemy zagrożenia cyberbezpieczeństwa istotne z perspektywy Państwa firmy.
  • Analiza luk: Przeprowadzamy analizę luk porównującą obecny stan cyberbezpieczeństwa z pożądanym stanem docelowym (tj. pełną zgodnością z dyrektywą NIS2 lub ustawą o cyberbezpieczeństwie).
  • Środki bezpieczeństwa: Wspólnie wdrożymy środki bezpieczeństwa cybernetycznego, aby ograniczyć najważniejsze zagrożenia.
  • Kontrola jakości: Dostosowujemy wprowadzone środki i sformułujemy wnioski na podstawie przeprowadzonych działań.  Zadbamy o to, aby wprowadzane środki bezpieczeństwa były trwałe i regularnie poddawane przeglądom.