dyrektywa NIS2

6bf435bb7b769acea121128c188a753bc217836b-xlarge (24)

Dyrektywa NIS2 w samorządzie - zarys obowiązków w zakresie cyberbezpieczeństwa (część II)

Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?

Z artykułu dowiesz się m.in.:

  • jakie obowiązki wynikające z dyrektywy NIS2 dotyczą jednostek samorządu terytorialnego,

  • na co powinny zwrócić szczególną uwagę osoby odpowiedzialne za cyberbezpieczeństwo w samorządzie,

  • jakie działania warto podjąć, aby przygotować jednostkę do wdrożenia wymogów NIS2.

Korzyści 

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jako wdrożenie dyrektywy NIS2

W artykule Dyrektywa NIS2 w samorządzie - kto musi ją stosować (część I) przytoczono skomplikowany podział na kategorie PKW. W niniejszym opracowaniu przybliżymy natomiast podstawowe obowiązki tych podmiotów, z uwzględnieniem przepisów szczególnych, które dotyczą podmiotów publicznych.

Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożyć ma nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Szczegóły postępowania z PKW i datę wejścia w życie nowych obowiązków ustalone zostaną w ustawie w nowym brzmieniu. Niniejszy artykuł uwzględnia projektowane przepisy ustawy w wersji z połowy lutego 2025 r.

W ramach każdego z przytoczonych poniżej obowiązków projektowana ustawa może precyzować dodatkowe obowiązki i uregulowania, toteż niniejsze opracowanie należy traktować jako zarys zobowiązań. Projekt przewiduje też wykreślenie z dotychczasowej treści ustawy rozdziału 5 o obowiązkach podmiotów publicznych, rozkładając te obowiązki w ramach innych przepisów.

64926bb8e8e655e16cc83777c847e77fece4e747-xlarge (7)

Dyrektywa NIS2 w samorządzie - kto musi ją stosować (część I)

Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Podmioty zaliczone do kategorii PKW mogą być podmiotami zarówno z sektora prywatnego, jak i publicznego, a więc także w jednostkach samorządu terytorialnego. Sprawdź, czy jednostka samorządu terytorialnego i samorządowe jednostki organizacyjne podlegają nowym przepisom dyrektywy NIS2.

Dyrektywa NIS2 i jej obowiązywanie w samorządzie

W odpowiedzi na tytułowe pytanie kluczowe znaczenie ma zaliczenie konkretnego administratora do kategorii PKW na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 i projektu ustawy ją wdrażającej, tj. nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Podmioty publiczne jako adresaci dyrektywy

Obecnie, na ustawa o krajowym systemie cyberbezpieczeństwa zawiera m.in. Rozdział 2 „Identyfikacja i rejestracja operatorów usług kluczowych”. Projektowane przepisy zmieniają zarówno jego tytuł (na „Identyfikacja podmiotów kluczowych i podmiotów ważnych”), jak i istotnie modyfikują brzmienie przepisów, dostosowując je m.in. pod funkcjonującą w ramach dyrektywy kategorię PKW. „Podmiot publiczny” w rozumieniu omawianych przepisów to podmiot wskazany w załączniku nr 1 do uksc w projektowanym brzmieniu w sektorze „podmioty publiczne”.

Korzyści 

Przeczytaj artykuł i sprawdź, czy Dyrektywa NIS2 dotyczy także Twojej instytucji. Z pierwszej części artykułu dowiesz się m.in.:

  • Kto może zostać uznany za podmiot kluczowy i ważny (PKW)?

  • Czy jednostki samorządu terytorialnego oraz ich jednostki organizacyjne podlegają nowym przepisom?

  • Jak sprawdzić, czy dana instytucja musi dostosować się do nowych wymogów?

W drugiej części artykułu poświęconego stosowaniu dyrektywy NIS2 w samorządzie przeczytasz o zakresie obowiązków jednostek samorządu terytorialnego w związku z tą dyrektywą. Tekst zostanie opublikowany w przyszłym tygodniu.

Dyrektywa NIS2 - jakie kary grożą za naruszenie wymogów dotyczących cyberbezpieczeństwa

Dyrektywa NIS2 - jakie kary grożą za naruszenie wymogów dotyczących cyberbezpieczeństwa

Dyrektywa NIS2 wprowadza pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Niedopełnienie tych obowiązków, precyzowanych przez projekt polskiej ustawy wdrażającej, pociąga za sobą różne dotkliwości. Sprawdź, jakie sankcje grożą za naruszenie dyrektywy NIS2.

Administratorzy danych osobowych będący podmiotami kluczowymi i ważnymi (PKW)

Podmioty kluczowe i ważne (PKW) powinny stosować niektóre przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (dalej zwanej NIS-2 lub dyrektywą; patrz: podstawa prawna). W jakim zakresie? Podstawowe znaczenie ma tu zaliczenie konkretnego administratora do sektora PKW na podstawie dyrektywy i projektu ustawy ją wdrażającej, tj. nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Szczegóły postępowania z PKW i datę wejścia w życie nowych obowiązków zostaną ustalone we wspomnianej nowelizacji. 

Do podmiotów kluczowych zaliczane są zwłaszcza podmioty będące dużymi przedsiębiorcami, wymienione sektorowo w załączniku nr 1 do projektowanej ustawy. Z kolei do podmiotów ważnych przepisy zaliczają wymienione sektorowo w załączniku nr 1 lub 2 ustawy podmioty, które spełniają wymogi dla średniego przedsiębiorcy i nie są jednocześnie podmiotami kluczowymi.

Przykład: Załącznik nr 1 wymienia np. konkretną działalność wydobywczą, energetyczną, bankową oraz podmioty lecznicze. Załącznik nr 2 obejmuje np. produkcję, wytwarzanie i dystrybucję chemikaliów.

Niezależnie od wielkości podmiotu, za PKW można np. dodatkowo uznać podmiot tak zidentyfikowany na podstawie przepisów ustawy.

Każdy administrator musi samodzielnie ocenić, czy zalicza się do kategorii PKW i na tej podstawie docelowo złożyć wniosek o wpis do wykazu PKW (ustawa będzie regulować procedurę wpisową).

Posiadanie określonej kategorii PKW ma wpływ głównie na zakres odpowiedzialności konkretnego administratora za naruszenie przepisów.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakie obowiązki nakłada Dyrektywa NIS2 na podmioty kluczowe i ważne (PKW), w tym administratorów danych osobowych.

  • jakie konsekwencje wiążą się z niedopełnieniem tych obowiązków.

  • jakie sankcje mogą grozić za naruszenie przepisów Dyrektywy NIS2 w Polsce.

Zapraszamy na bezpłatny webinar „Dyrektywa NIS 2 - kogo dotyczą nowe przepisy – podmioty kluczowe i ważne”

Zapraszamy na bezpłatny webinar „Dyrektywa NIS 2 - kogo dotyczą nowe przepisy – podmioty kluczowe i ważne”

Zastanawiasz się, czy dyrektywa NIS2 obejmuje Twoją organizację? Nurtuje Cię to, czy NIS2 nakłada na Ciebie nowe obowiązki w zakresie cyberbezpieczeństwa. Zapraszamy Cię na bezpłatny webinar online, który odbędzie się 25 lutego 2025 r. w godz. 9:30-10:10.

  • 18 lutego 2025 r.
  • ADO
9d4af573c5f6911d7802b19e9410cf95d438123c-xlarge (4)

Dyrektywa NIS2 w szpitalach i innych placówkach medycznych - obowiązki w zakresie cyberbezpieczeństwa

Dyrektywa NIS2 nakłada nowe obowiązki na określone kategorie jednostek, w tym także na szpitale i placówki medyczne. Sprawdź, czy w związku z NIS2 Twój szpital lub inna placówka medyczna musi spełnić nowe wymagania w zakresie cyberbezpieczeństwa.

Czym jest dyrektywa NIS2

Przypomnijmy, że dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (dyrektywa NIS2) to regulacja, która w celu podniesienia poziomu cyberbezpieczeństwa w kluczowych sektorach nakłada obowiązki na tzw. podmioty kluczowe i ważne, obligując je do wdrożenia środków zarządzania ryzykiem, zgłaszania incydentów a także przestrzegania zasad nadzoru i egzekwowania przepisów.

Nowe przepisy obejmują szpitale i inne placówki medyczne

Zalicza się do nich średnie i duże placówki medyczne, w tym szpitale, laboratoria oraz producentów farmaceutycznych. Są to także placówki niepubliczne. Do sektorów kluczowych zaliczono bowiem opiekę zdrowotną tj.:

  • świadczeniodawców w rozumieniu art. 3 lit. g) dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE;

  • laboratoria referencyjne UE, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2371;

  • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych zdefiniowanych w art. 1 pkt 2 dyrektywy Parlamentu Europejskiego i Rady 2001/83/WE;

  • podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2

  • podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu w przypadku stanu zagrożenia zdrowia publicznego”) w rozumieniu art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/123.

Świadczeniodawca to każda osoba fizyczną lub prawną bądź inną jednostkę organizacyjną legalnie świadczącą opiekę zdrowotną na terenie państwa członkowskiego. Z tego względu każda placówka medyczna musi sprawdzić, czy została zobowiązana do stosowania dyrektywy.

Korzyści 

Z artykułu dowiesz się m.in.:

  • Które placówki medyczne są objęte dyrektywą NIS2?

  • Jakie obowiązki w zakresie cyberbezpieczeństwa muszą spełnić szpitale i inne jednostki ochrony zdrowia?

  • Jakie sankcje grożą za nieprzestrzeganie nowych przepisów?

  • Jak przygotować placówkę medyczną na zmiany wynikające z NIS2?

Przejście na wirtualny serwer w chmurze IaaS – wymogi RODO, KRI i NIS2

Przejście na wirtualny serwer w chmurze IaaS – wymogi RODO, KRI i NIS2

Wyobraźmy sobie sytuację, w której w jednostce publicznej zachodzi potrzeba pilnej wymiany serwera. Jednostka planuje zainstalować wirtualny serwer w chmurze w modelu IaaS. W jaki sposób sformalizować przejście na wirtualny serwer w chmurze IaaS. Jakie wymagania RODO, KRI i dyrektywy NIS2 muszą tu zostać spełnione? Odpowiedź w artykule.

19517e80eefe3f82c3b4651dcb414ed63d06b28b-xlarge (4)

Jaki jest czas na wdrożenie przepisów dyrektywy NIS 2?

Dyrektywa NIS2 to nowe unijne przepisy dotyczące cyberbezpieczeństwa. Stanowi ona rewizję poprzedniej dyrektywy NIS, przyjętej w 2018 r.– biorąc pod uwagę rosnącą istotność dbania o bezpieczeństwo cyfrowe, ustawodawca unijny postanowił zmienić to, na jakie podmioty zostaną nałożone dodatkowe obowiązki, wliczając w to aktualizację tego, jak te obowiązki miałyby w ogóle wyglądać.

Dyrektywa NIS 2 – zmiany przepisów dotyczących cyberbezpieczeństwa

Dyrektywa NIS 2 – zmiany przepisów dotyczących cyberbezpieczeństwa

W związku z nieustającym rozwojem technologicznym, postępującą informatyzacją oraz rosnącą liczbą zagrożeń w zakresie cyberbezpieczeństwa, unijni urzędnicy uznali, że dyrektywa dotycząca cyberbezpieczeństwa, potocznie nazywana „NIS”, wymaga zmian. Dlatego też Parlament Europejski przyjął dyrektywę NIS2, która weszła w życie na początku 2023 r., a jej implementacja w krajach członkowskich musi nastąpić do połowy października 2024 r. Zmienia ona dotychczasowe podejście do tego, jakie podmioty muszą stosować zaostrzone rygory związane z bezpieczeństwem informatycznym. Przedstawiamy podstawowe informacje związane z funkcjonowaniem dyrektywy NIS2, czyli to jakie podmioty obejmuje i jakie są ich podstawowe obowiązki.

ec1d3227e3ee9018e9e0d99a223d1932310e3337-xlarge (3)

Rozporządzenie DORA i Dyrektywa NIS2 – co to takiego

W listopadzie 2022 r. Rada Unii Europejskiej przyjęła nowe przepisy w obszarze cyberbezpieczeństwa: DORA i NIS2. Czy te akty prawne obowiązują bezpośrednio w Polsce? Czy dotyczą jednostek publicznych czy też innych podmiotów? Czy istnieje konieczność wdrożenia nowych wymogów w zakresie cyberbezpieczeństwa w zakresie DORA i NIS2?

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x