NIS2 i zarządzanie podatnościami
Praktyczny przewodnik po Dyrektywie NIS2 dla polskich firm: kogo dotyczy, jakie wymogi nakłada w zakresie cyberbezpieczeństwa i jak skutecznie monitorować podatności w swojej infrastrukturze.
1. Czym jest NIS2
NIS2 (Network and Information Security Directive 2) to dyrektywa Unii Europejskiej przyjęta 14 grudnia 2022 r. (oficjalnie: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555), która zastępuje dotychczasową dyrektywę NIS z 2016 r. Jej celem jest podniesienie wspólnego poziomu cyberbezpieczeństwa w całej UE.
Nowa dyrektywa znacząco rozszerza zakres podmiotów objętych obowiązkami, zaostrza wymogi techniczne i organizacyjne oraz wprowadza wysokie sankcje za niezgodność. W Polsce NIS2 implementuje się przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
2. Kogo dotyczy NIS2
Dyrektywa wprowadza dwie kategorie podmiotów objętych obowiązkami:
Podmioty kluczowe (essential entities)
Duże firmy z sektorów o wysokim znaczeniu krytycznym: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna.
Próg: co najmniej 250 pracowników lub roczny obrót powyżej 50 mln EUR.
Podmioty ważne (important entities)
Średnie firmy z sektorów o wysokim znaczeniu krytycznym oraz wszystkie firmy z dodatkowych sektorów: usługi pocztowe, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności, produkcja wyrobów medycznych, elektronicznych i pojazdów, dostawcy usług cyfrowych.
Próg: co najmniej 50 pracowników lub roczny obrót powyżej 10 mln EUR.
3. Sektory objęte dyrektywą
NIS2 obejmuje znacznie więcej sektorów niż pierwotna dyrektywa NIS. Pełna lista:
Sektory wysokiego znaczenia krytycznego
- Energetyka (elektryczność, gaz, ropa, ciepło, wodór)
- Transport (lotniczy, kolejowy, wodny, drogowy)
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia
- Woda pitna i ścieki
- Infrastruktura cyfrowa (DNS, IXP, TLD, chmury, CDN)
- Zarządzanie usługami ICT (MSP, MSSP)
- Administracja publiczna (centralna i regionalna)
- Przestrzeń kosmiczna
Inne sektory krytyczne
- Usługi pocztowe i kurierskie
- Gospodarka odpadami
- Produkcja i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja wyrobów medycznych, elektronicznych, maszyn, pojazdów
- Dostawcy usług cyfrowych (rynki online, wyszukiwarki, social media)
- Badania naukowe
4. Wymogi w zakresie cyberbezpieczeństwa
Art. 21 NIS2 określa podstawowy katalog środków zarządzania ryzykiem. Każdy objęty podmiot musi wdrożyć co najmniej następujące obszary:
- Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych
- Obsługa incydentów (wykrywanie, reagowanie, raportowanie)
- Ciągłość działania (backup, disaster recovery, plany kryzysowe)
- Bezpieczeństwo łańcucha dostaw — w tym dostawcy oprogramowania
- Bezpieczeństwo procesów nabywania, rozwoju i utrzymania systemów — w tym obsługa podatności i ich ujawnianie
- Polityki oceny skuteczności środków zarządzania ryzykiem
- Podstawowe praktyki cyberhigieny i szkolenia
- Polityki dotyczące kryptografii i szyfrowania
- Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu, zarządzanie aktywami
- Uwierzytelnianie wieloskładnikowe (MFA), zabezpieczone połączenia
5. Zarządzanie podatnościami w NIS2
Punkt e) art. 21 NIS2 wprost wymaga od podmiotów wdrożenia procesu zarządzania podatnościami: identyfikacji, oceny, traktowania i raportowania luk bezpieczeństwa w eksploatowanych systemach.
W praktyce oznacza to konieczność prowadzenia:
- Inwentaryzacji oprogramowania — pełna lista systemów, bibliotek, frameworków, urządzeń
- Monitoringu źródeł CVE — codzienne śledzenie nowych podatności (NVD, MITRE, CISA KEV)
- Oceny ryzyka podatności w kontekście własnej infrastruktury
- Patch management — proces wdrażania poprawek w określonym SLA
- Raportowania incydentów do CSIRT (CSIRT NASK, CSIRT MON, CSIRT GOV)
- Dokumentacji wszystkich powyższych procesów
6. Harmonogram i terminy
- 14 grudnia 2022 — przyjęcie dyrektywy NIS2 przez Parlament UE
- 17 października 2024 — termin transpozycji do prawa krajowego
- 17 stycznia 2025 — termin pierwszej identyfikacji podmiotów
- 17 kwietnia 2025 — każdy podmiot powinien być zarejestrowany
- 2025–2026 — okres wdrażania środków technicznych
- 2026+ — okres pełnych audytów i kontroli
7. Sankcje za niezgodność
NIS2 wprowadza znacznie surowsze sankcje niż poprzednia dyrektywa:
Dla podmiotów kluczowych
- Kara do 10 000 000 EUR lub 2% rocznego obrotu globalnego
Dla podmiotów ważnych
- Kara do 7 000 000 EUR lub 1,4% rocznego obrotu globalnego
Dodatkowo
- Tymczasowe zawieszenie certyfikatów i licencji
- Zakaz pełnienia funkcji zarządczych dla odpowiedzialnych osób
- Publikacja informacji o naruszeniu (reputational sanction)
8. NIS vs NIS2 — co się zmieniło
| Aspekt | NIS (2016) | NIS2 (2024) |
|---|---|---|
| Liczba sektorów | 7 | 15+ |
| Podmioty w PL | ~400 | ~42 000 |
| Sankcje max | Brak na poziomie UE | 10 mln EUR / 2% obrotu |
| Odpowiedzialność zarządu | Pośrednia | Bezpośrednia |
| Czas zgłoszenia incydentu | "Bez zbędnej zwłoki" | 24h (wstępne) / 72h (pełne) |
| Łańcuch dostaw | Pominięty | Obowiązkowy nadzór |
| Audyty | Rzadkie | Regularne, dokumentowane |
9. Jak CVEbaza pomaga w zgodności z NIS2
CVEbaza.pl to pierwszy polski portal zarządzania podatnościami CVE, zaprojektowany z myślą o praktycznym wsparciu wymogów NIS2: