Cyberbezpieczeństwo · Regulacje UE

Przewodnik po wdrożeniu dyrektywy NIS2 w organizacjach krytycznych

Analityczne opracowanie wymogów dyrektywy NIS2 — klasyfikacji podmiotów, obowiązków zarządczych, terminów zgłaszania incydentów oraz harmonogramu wdrożenia w Polsce.

Architektura ochrony sieci i systemów informacyjnych

Materiały tematyczne

Metodyka analizy

Materiały publikowane na tej stronie opierają się na analizie tekstu dyrektywy NIS2, dokumentów towarzyszących procesowi legislacyjnemu oraz publicznie dostępnych opracowaniach branżowych. Każdy artykuł koncentruje się na jednym aspekcie wdrożenia — od klasyfikacji podmiotów po obowiązki zarządu — co pozwala na uporządkowane zapoznanie się z tematem krok po kroku.

Artykuły publikowane na tej stronie podsumowują publicznie dostępne informacje, opracowania branżowe oraz materiały o charakterze edukacyjnym.

Najczęstsze pytania

Czy NIS2 dotyczy małych firm?

Co do zasady regulacja obejmuje średnie i duże przedsiębiorstwa, jednak w niektórych sektorach próg wielkości nie ma zastosowania, jeśli podmiot pełni krytyczną rolę w danym rynku.

Kiedy trzeba zgłosić incydent?

Wstępne zgłoszenie należy przekazać w ciągu 24 godzin od wykrycia incydentu o istotnym wpływie, a szczegółowe zgłoszenie w ciągu 72 godzin.

Czym różni się podmiot kluczowy od ważnego?

Różnica dotyczy głównie zakresu nadzoru — podmioty kluczowe podlegają kontroli proaktywnej, a podmioty ważne nadzorowane są głównie po wystąpieniu zdarzenia.

Czy zarząd ponosi osobistą odpowiedzialność?

Tak, dyrektywa nakłada na organy zarządzające obowiązek zatwierdzania i nadzorowania środków zarządzania ryzykiem cyberbezpieczeństwa.