NIS2 · EU 2022/2555

Czy Twoja firma podlega NIS2?

Dyrektywa NIS2 obejmuje setki firm w Polsce. Kary sięgają 10 mln EUR. Sprawdź czy musisz się dostosować i poznaj nasz plan 30/60/90 dni.

Sprawdź gotowośćUmów konsultację

Czym jest NIS2?

NIS2 (Network and Information Security Directive 2) to dyrektywa Unii Europejskiej (EU 2022/2555) dotycząca cyberbezpieczeństwa. Zastępuje poprzednią dyrektywę NIS z 2016 roku i znacząco rozszerza zakres podmiotów objętych regulacją. W Polsce implementowana przez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Dyrektywa dotyczy podmiotów kluczowych i ważnych z sektorów takich jak: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna, usługi pocztowe, gospodarka odpadami, produkcja chemiczna, produkcja żywności. Kary za brak zgodności sięgają 10 mln EUR lub 2% globalnego obrotu rocznego dla podmiotów kluczowych.

Plan wdrożenia 30/60/90 dni

Dzień 1-30

Analiza i ocena

  • Gap analysis NIS2
  • Ocena ryzyka cyberbezpieczeństwa
  • Identyfikacja aktywów krytycznych
  • Przegląd polityk bezpieczeństwa
  • Raport z rekomendacjami
Dzień 31-60

Wdrożenie

  • Opracowanie polityk bezpieczeństwa
  • Wdrożenie kontroli technicznych
  • Procedury raportowania incydentów
  • Zarządzanie łańcuchem dostaw
  • Szkolenie pracowników
Dzień 61-90

Weryfikacja

  • Audyt wewnętrzny
  • Testy ciągłości działania
  • Dokumentacja zgodności
  • Przegląd zarządzania
  • Raport gotowości NIS2

FAQ — NIS2

Podmioty kluczowe i ważne z 18 sektorów gospodarki. Firmy zatrudniające powyżej 50 pracowników lub z obrotem powyżej 10 mln EUR, działające w sektorach objętych dyrektywą. Niezależnie od wielkości: dostawcy usług DNS, rejestry domen TLD, dostawcy usług zaufania.
Dla podmiotów kluczowych: do 10 mln EUR lub 2% globalnego obrotu rocznego (wyższa kwota). Dla podmiotów ważnych: do 7 mln EUR lub 1,4% globalnego obrotu rocznego. Dodatkowo odpowiedzialność osobista kadry zarządzającej.
Co do zasady nie, ale są wyjątki. Niezależnie od wielkości NIS2 dotyczy: dostawców usług DNS, rejestrów domen TLD, dostawców usług zaufania, oraz firm wskazanych przez państwo członkowskie jako podmioty kluczowe ze względu na ich znaczenie.
Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na transpozycję do prawa krajowego. Polska pracuje nad nowelizacją Ustawy o KSC.
NIS2 wymaga zgłaszania znaczących incydentów cyberbezpieczeństwa w trzech etapach: wczesne ostrzeżenie (24h), powiadomienie o incydencie (72h) i raport końcowy (1 miesiąc). Zgłoszenia kierowane są do właściwego CSIRT lub organu nadzoru.
Nie. NIS2 dotyczy wszystkich firm działających na terenie Unii Europejskiej, które spełniają kryteria sektorowe i wielkościowe. Firma zarejestrowana za granicą, ale świadcząca usługi w Polsce, również może podlegać NIS2.
Koszt zależy od wielkości firmy, sektora i aktualnego poziomu dojrzałości cyberbezpieczeństwa. Nasze pakiety zaczynają się od 15 000 PLN netto za pełne wdrożenie w planie 90-dniowym. Wstępna konsultacja jest bezpłatna.

Gotowi na rozmowę?

Umów bezpłatną 30-minutową konsultację

kontakt@redmoon.com.pl+48 604 785 773
Umów konsultację
Czy Twoja firma podlega NIS2? | RedMoon