NIS2 — nowe standardy cyberbezpieczeństwa dla stron internetowych

Dyrektywa NIS2 (Dyrektywa 2022/0383/COE Parlamentu Europejskiego i Rady z 14 grudnia 2022 r.) zastąpiła pierwotną dyrektywę NIS i znacząco rozszerzyła zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Dla organizacji działających w UE NIS2 oznacza nowe wymogi dotyczące zarządzania ryzykiem, reagowania na incydenty i transparentności — w tym na stronie internetowej.

Kto jest objęty dyrektywą NIS2?

NIS2 rozszerza zakres podmiotowy względem NIS1. Obejmuje teraz dwie kategorie:

• Podmioty kluczowe (essential entities): Energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna. Duże przedsiębiorstwa (≥250 pracowników lub obrót ≥50 mln EUR).
• Podmioty ważne (important entities): Usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, żywność, produkcja (urządzenia medyczne, pojazdy, maszyny), usługi cyfrowe (platformy, wyszukiwarki, sieci społecznościowe), dostawcy usług badawczych. Średnie przedsiębiorstwa (≥50 pracowników lub obrót ≥10 mln EUR).

Kluczowa zmiana: NIS2 objęła dostawców usług cyfrowych — w tym platformy e-commerce, sieci dostarczania treści (CDN), rejestry nazw domenowych i dostawców DNS. Jeśli Twoja organizacja świadczy takie usługi, jesteś podmiotem ważnym lub kluczowym niezależnie od wielkości.

Wymogi NIS2 dotyczące zarządzania ryzykiem

Art. 21 NIS2 nakłada na podmioty objęte dyrektywą obowiązek wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Obejmują one:

• Polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych — udokumentowane podejście do identyfikacji i oceny zagrożeń.
• Reagowanie na incydenty — plany postępowania i procedury obsługi incydentów bezpieczeństwa.
• Ciągłość działania — zarządzanie kopiami zapasowymi, przywracaniem sprawności po awarii, zarządzanie kryzysowe.
• Bezpieczeństwo łańcucha dostaw — weryfikacja bezpieczeństwa dostawców i usługodawców (hosting, CDN, bramki płatności).
• Bezpieczeństwo w zakresie nabywania, rozwoju i utrzymania systemów — w tym obsługa podatności i ich ujawnianie.
• Polityki i procedury oceniające skuteczność środków zarządzania ryzykiem.
• Podstawowe praktyki higieny cyberbezpieczeństwa i szkolenia.
• Polityki i procedury dotyczące kryptografii i, w stosownych przypadkach, szyfrowania.
• Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami.
• Uwierzytelnianie wieloskładnikowe (MFA) lub rozwiązania ciągłego uwierzytelniania.

Obowiązki zgłaszania incydentów

NIS2 wprowadza ścisłe terminy zgłaszania znaczących incydentów cyberbezpieczeństwa:

• 24 godziny: Wstępne ostrzeżenie do CSIRT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego) lub właściwego organu — jeśli incydent jest podejrzewany jako wynik działań niezgodnych z prawem lub złośliwych, lub może mieć transgraniczny wpływ.
• 72 godziny: Zgłoszenie incydentu z oceną jego powagi, wskaźnikami naruszenia bezpieczeństwa i — w stosownych przypadkach — wskazaniem, czy incydent wynika z działań niezgodnych z prawem.
• 1 miesiąc: Sprawozdanie końcowe zawierające szczegółowy opis incydentu, rodzaj zagrożenia, przyczynę źródłową, skutki transgraniczne i podjęte środki zaradcze.

Próg istotności incydentu: zdarzenie, które powoduje lub może powodować poważne zakłócenia operacyjne lub straty finansowe dla danego podmiotu, albo które wpływa lub może wpływać na inne osoby fizyczne lub prawne, powodując znaczne szkody materialne lub niematerialne.

Co NIS2 oznacza dla Twojej strony internetowej?

Strona internetowa organizacji jest częścią jej infrastruktury cyfrowej i podlega wymogom NIS2 w kilku aspektach:

• Polityka prywatności i bezpieczeństwa: Powinna zawierać informację o środkach bezpieczeństwa stosowanych do ochrony danych użytkowników, stosowanym szyfrowaniu (HTTPS/TLS) i procedurach reagowania na naruszenia.
• Informacje kontaktowe do zgłaszania podatności: Rekomendowane jest wdrożenie polityki odpowiedzialnego ujawniania podatności (responsible disclosure) — np. adresu security@domena.eu lub pliku security.txt (RFC 9116) na stronie.
• Transparentność dostawców: Jeśli Twoja strona korzysta z zewnętrznych usług (CDN, hosting, bramki płatności), w polityce prywatności powinni być oni wskazani jako podmioty przetwarzające lub podmioty trzecie.
• Formularze i dane użytkowników: Wszystkie formularze na stronie muszą korzystać z HTTPS. Przesyłanie danych niezaszyfrowanym kanałem jest naruszeniem zarówno RODO, jak i NIS2.
• Wtyczki i skrypty stron trzecich: NIS2 uwzględnia ryzyko łańcucha dostaw — każdy zewnętrzny skrypt (analytics, chatbot, widget) jest potencjalnym wektorem ataku. Organizacje powinny kontrolować i audytować te zależności.

Sankcje za naruszenie NIS2

NIS2 wprowadza surowy system kar:

• Podmioty kluczowe: do 10 mln EUR lub 2% globalnego rocznego obrotu (wyższa z kwot).
• Podmioty ważne: do 7 mln EUR lub 1,4% globalnego rocznego obrotu (wyższa z kwot).

Co istotne, NIS2 wprowadza osobistą odpowiedzialność członków zarządu — organy nadzorcze mogą nakładać tymczasowy zakaz pełnienia funkcji kierowniczych na osoby fizyczne, jeśli naruszenia wynikają z ich zaniedbań.

Jak sprawdzić zgodność z NIS2?

Checklista minimalnych wymagań dla podmiotów objętych NIS2:

• Strona korzysta wyłącznie z HTTPS (certyfikat TLS, przekierowanie HTTP→HTTPS).
• Wdrożone MFA dla wszystkich kont administracyjnych i paneli CMS.
• Regularne testy penetracyjne i skanowanie podatności (przynajmniej rocznie).
• Udokumentowana polityka zarządzania incydentami z wyznaczonym CSIRT lub punktem kontaktowym.
• Weryfikacja bezpieczeństwa kluczowych dostawców (hosting, DNS, CDN).
• Plan ciągłości działania z testem odtwarzania kopii zapasowych.
• Polityka odpowiedzialnego ujawniania podatności (security.txt lub dedykowany adres e-mail).