Geneza i cel dyrektywy
Dyrektywa NIS2 (Network and Information Security Directive 2) została przyjęta przez Parlament Europejski i Radę jako aktualizacja wcześniejszej dyrektywy NIS z 2016 roku. Celem regulacji jest podniesienie ogólnego poziomu cyberbezpieczeństwa w Unii Europejskiej poprzez ujednolicenie wymogów dotyczących zarządzania ryzykiem, zgłaszania incydentów oraz nadzoru nad podmiotami o istotnym znaczeniu dla gospodarki i społeczeństwa.
W odróżnieniu od pierwotnej wersji, NIS2 znacząco rozszerza katalog sektorów objętych regulacją oraz wprowadza bardziej precyzyjne kryteria kwalifikacji podmiotów, co ma ograniczyć rozbieżności interpretacyjne pomiędzy państwami członkowskimi.
Zakres podmiotowy
Dyrektywa wprowadza podział na dwie kategorie podmiotów: kluczowe (essential entities) oraz ważne (important entities). Kwalifikacja zależy od sektora działalności, wielkości podmiotu oraz znaczenia świadczonych usług dla ciągłości funkcjonowania państwa i rynku wewnętrznego.
Co do zasady regulacją objęte są średnie i duże przedsiębiorstwa, choć w niektórych przypadkach próg wielkości nie ma zastosowania — dotyczy to podmiotów o szczególnym znaczeniu, np. jedynych dostawców usługi w danym kraju.
Sektory objęte regulacją
Katalog sektorów kluczowych obejmuje między innymi energetykę, transport, bankowość, infrastrukturę rynków finansowych, ochronę zdrowia, zaopatrzenie w wodę pitną, infrastrukturę cyfrową oraz administrację publiczną. Sektory ważne obejmują m.in. usługi pocztowe, gospodarkę odpadami, produkcję chemikaliów, przetwórstwo żywności oraz produkcję urządzeń elektronicznych.
Transpozycja do prawa polskiego
Państwa członkowskie zobowiązane są do transpozycji dyrektywy do prawa krajowego poprzez nowelizację właściwych aktów, w Polsce dotyczy to przede wszystkim ustawy o krajowym systemie cyberbezpieczeństwa. Proces legislacyjny obejmuje konsultacje publiczne, dostosowanie definicji oraz określenie właściwych organów nadzoru sektorowego.