NIS2: wszystko, co musisz wiedzieć o ustawie o cyberbezpieczeństwie i zakupach oprogramowania
NIS2 to największa europejska ustawa dotycząca cyberbezpieczeństwa od wielu lat. Dla organizacji z sektorów kluczowych zmienia się wiele, także w obszarze zakupów oprogramowania i zarządzania dostawcami. Oto wszystko, co musisz wiedzieć.
- 15 stycznia 2025
- 5 min
- NIS2 – Dyrektywa o cyberbezpieczeństwie
Dyrektywa NIS2 to największa europejska ustawa dotycząca cyberbezpieczeństwa od wielu lat. Jest szeroko zakrojona, surowo egzekwowana i bezpośrednio istotna dla każdego, kto odpowiada za zakupy oprogramowania w organizacji. Oto, co musisz wiedzieć.
Czym jest NIS2?
NIS2 to skrót od Network and Information Security Directive 2, następca pierwotnej dyrektywy NIS z 2016 roku. Dyrektywa zobowiązuje organizacje w sektorach krytycznych do strukturalnego wzmacniania swojej odporności cyfrowej. NIS2 obowiązuje na poziomie europejskim od 17 października 2024 roku. Wdrożenie w Holandii poprzez ustawę o cyberbezpieczeństwie jest spodziewane w drugim kwartale 2026 roku.
Dla kogo obowiązuje NIS2?
NIS2 dotyczy organizacji z 18 sektorów krytycznych, podzielonych na podmioty zasadnicze i ważne. Należą do nich: energia, transport, opieka zdrowotna, gospodarka wodna, infrastruktura cyfrowa, usługi finansowe, administracja publiczna i inne. Również dostawcy organizacji z tych sektorów mogą być pośrednio objęci ustawą poprzez obowiązek zarządzania łańcuchem dostaw.
Co się zmienia w porównaniu do NIS1?
Najważniejsze zmiany:
Szerszy zakres: znacznie więcej sektorów i organizacji objętych dyrektywą
Odpowiedzialność osobista: zarządy są odpowiedzialne za przestrzeganie przepisów i mogą ponosić osobistą odpowiedzialność
Wyższe kary: do 10 mln euro lub 2% światowego rocznego obrotu dla podmiotów zasadniczych
Obowiązek zarządzania łańcuchem dostaw: organizacje muszą kontrolować bezpieczeństwo swoich dostawców
Obowiązek zgłaszania: incydenty muszą być zgłaszane w ciągu 24 godzin do CSIRT
Co oznacza NIS2 dla zakupów oprogramowania?
Obowiązek zarządzania łańcuchem dostaw ma najbardziej bezpośredni wpływ na zakupy oprogramowania. Organizacje muszą:
utrzymywać aktualny przegląd wszystkich dostawców ICT i oprogramowania
zawrzeć umowne ustalenia dotyczące bezpieczeństwa ze wszystkimi odpowiednimi dostawcami
okresowo oceniać bezpieczeństwo dostawców
umawiać procedury eskalacji incydentów z krytycznymi dostawcami oprogramowania
Bez uporządkowanego przeglądu oprogramowania zgodność z NIS2 nie jest możliwa. SoftVaro pomaga organizacjom stworzyć taki przegląd jako punkt wyjścia do spełnienia wymogów.
Najczęściej zadawane pytania
Najczęściej zadawane pytania na ten temat.
Jak NIS2 wiąże się z zakupami oprogramowania?
NIS2 wymaga od organizacji utrzymania aktualnego przeglądu całego oprogramowania i dostawców ICT, w tym umownych ustaleń dotyczących bezpieczeństwa. Bez tego przeglądu nie spełnisz wymogów zgodności.
Kiedy NIS2 zacznie obowiązywać w Holandii?
Ustawa o cyberbezpieczeństwie (holenderskie wdrożenie NIS2) jest spodziewana w drugim kwartale 2026 roku. Organizacje muszą być zgodne z przepisami od momentu wejścia ustawy w życie.
Jakie są kary za nieprzestrzeganie NIS2?
Podmioty zasadnicze ryzykują kary do 10 mln euro lub 2% światowego rocznego obrotu. Podmioty ważne do 7 mln euro lub 1,4% rocznego obrotu. Członkowie zarządu mogą ponosić osobistą odpowiedzialność.
Gotowy, aby zaoszczędzić na oprogramowaniu?
SoftVaro negocjuje dla Ciebie najlepszą ofertę u ponad 4 000 dostawców. Niezależnie, przejrzyście, w ciągu 24 godzin.