Czy Twoja organizacja podlega pod wymogi dyrektywy NIS 2?

Wiele organizacji wciąż nie wie, czy faktycznie podlega pod te przepisy.

Dyrektywa NIS 2 to nowe, unijne regulacje dotyczące cyberbezpieczeństwa, które znacząco rozszerzają zakres obowiązków dla firm i instytucji w całej Europie – również w Polsce. Choć termin implementacji NIS 2 zbliża się wielkimi krokami, wiele organizacji wciąż nie wie, czy faktycznie podlega pod te przepisy.

W Trecom pomagamy naszym klientom przeprowadzić analizę zgodności z NIS 2 – dlatego przygotowaliśmy krótki przewodnik, który ułatwi Ci zrozumienie, czy Twoja organizacja powinna już dziś rozpocząć przygotowania.

1. Czym jest dyrektywa NIS 2?

NIS 2 (Network and Information Security Directive) to akt prawny Unii Europejskiej, który zastępuje wcześniejszą dyrektywę NIS. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej UE, poprzez wprowadzenie wspólnych standardów ochrony systemów IT, reagowania na incydenty i zarządzania ryzykiem.

Nowe przepisy dotyczą nie tylko operatorów kluczowych usług, ale także wielu innych podmiotów – w tym firm produkcyjnych czy badawczych.

2. Pierwsze pytanie: czy działasz w Unii Europejskiej?

Jeśli Twoja firma nie świadczy usług ani nie prowadzi działalności na terenie UE, możesz przyjąć, że nie podlegasz pod NIS 2.

Jeśli jednak Twoja organizacja ma siedzibę, klientów lub projekty w krajach UE – przejdź do kolejnego kroku.

3. Sprawdź, do jakiego sektora należy Twoja organizacja

Dyrektywa NIS 2 wyróżnia dwie główne grupy podmiotów:

Podmioty kluczowe (Essential Entities)

To organizacje działające w strategicznych sektorach, takich jak:

• energetyka,
• transport,
• bankowość i infrastruktura finansowa,
• ochrona zdrowia,
• produkcja (m.in. wyrobów medycznych, komputerów, urządzeń elektronicznych).

Podmioty ważne (Important Entities)

To podmioty z sektorów takich jak:

• usługi pocztowe,
• gospodarowanie odpadami,
• badania naukowe,
• dostawcy usług cyfrowych (np. wyszukiwarki, platformy społecznościowe).

Jeśli Twoja organizacja wpisuje się w któryś z powyższych sektorów – przejdź do następnej części analizy.

4. Analiza wielkości organizacji (tzw. „size cap”)

NIS 2 obejmuje przede wszystkim średnie i duże przedsiębiorstwa.
Twoja organizacja podlega dyrektywie NIS 2, jeśli:

• zatrudnia ponad 50 pracowników, oraz
• osiąga obrót powyżej 10 mln euro rocznie.

Jeśli nie spełniasz tych progów, konieczna jest jeszcze analiza dodatkowych kryteriów.

5. Wyjątki – kiedy NIS 2 dotyczy również mniejszych firm

Nawet jeśli Twoja organizacja jest mała lub średnia, możesz podlegać pod NIS 2, jeśli:

• działasz w łańcuchu dostaw organizacji, która podlega dyrektywie (np. świadczysz kluczowe usługi IT, rozliczeniowe lub logistyczne dla większych podmiotów);
• jesteś dostawcą jednej z poniższych usług:
  • usług DNS,
  • chmurowych (cloud computing),
  • usług zaufania (qualified trust services),
  • zarządzania cyberbezpieczeństwem (Managed Security Services Provider).

W tych przypadkach dyrektywa obowiązuje niezależnie od liczby pracowników czy obrotu.

6. Co zrobić, jeśli Twoja organizacja podlega NIS 2?

Jeśli analiza wskazuje, że jesteś w zasięgu NIS 2 – warto rozpocząć działania przygotowawcze już teraz.
Trecom wspiera organizacje w:

• analizie zgodności z dyrektywą NIS 2,
• przygotowaniu polityk bezpieczeństwa i procedur reagowania,
• wdrożeniu systemów klasy SIEM, SOAR czy EDR,
• świadczeniu usługi SOC,
• zarządzaniu łańcuchem dostaw oraz analizie ryzyka,
• szkoleniach z zakresu cyberbezpieczeństwa.

Dzięki temu Twoja organizacja będzie nie tylko zgodna z przepisami, ale też realnie bardziej odporna na cyberzagrożenia.