NIS2: wszystko, co musisz wiedzieć o ustawie o cyberbezpieczeństwie i zakupach oprogramowania
NIS2 to największa europejska ustawa o cyberbezpieczeństwie od lat. Dla organizacji w sektorach krytycznych wiele się zmienia, także w zakresie zakupów oprogramowania i zarządzania dostawcami. Oto wszystko, co musisz wiedzieć.
- 15 stycznia 2025
- 5 min
- NIS2 – Dyrektywa dotycząca cyberbezpieczeństwa
Dyrektywa NIS2 to największa europejska ustawa o cyberbezpieczeństwie od lat. Ma szeroki zakres, surowe egzekwowanie i jest bezpośrednio istotna dla każdego odpowiedzialnego za zakupy oprogramowania w organizacji. Oto, co warto wiedzieć.
Czym jest NIS2?
NIS2 oznacza Dyrektywę w sprawie bezpieczeństwa sieci i informacji 2, będącą następcą pierwotnej dyrektywy NIS z 2016 roku. Dyrektywa nakłada na organizacje z sektorów krytycznych obowiązek systematycznego wzmacniania odporności cyfrowej. NIS2 obowiązuje na poziomie europejskim od 17 października 2024 roku. Implementacja w Holandii przez ustawę o cyberbezpieczeństwie jest spodziewana w II kwartale 2026 roku.
Dla kogo obowiązuje NIS2?
NIS2 dotyczy organizacji w 18 sektorach krytycznych, podzielonych na podmioty podstawowe i ważne. Należą do nich: energetyka, transport, opieka zdrowotna, wodociągi, infrastruktura cyfrowa, usługi finansowe, administracja publiczna i inne. Dostawcy organizacji z tych sektorów mogą również podlegać ustawie pośrednio na mocy obowiązku dbałości o łańcuch dostaw.
Co się zmienia w porównaniu do NIS1?
Najważniejsze zmiany:
Szerszy zakres: Dużo więcej sektorów i organizacji podlega teraz dyrektywie
Odpowiedzialność osobista: Członkowie zarządu są odpowiedzialni za zgodność i mogą ponosić osobistą odpowiedzialność
Wyższe kary: Do 10 milionów euro lub 2% światowego rocznego obrotu dla podmiotów podstawowych
Obowiązek dbałości o łańcuch dostaw: Organizacje muszą kontrolować również bezpieczeństwo swoich dostawców
Obowiązek zgłaszania: Incydenty muszą być zgłoszone do CSIRT w ciągu 24 godzin
Co oznacza NIS2 dla zakupów oprogramowania?
Obowiązek dbałości o łańcuch dostaw ma najbardziej bezpośredni wpływ na zakupy oprogramowania. Organizacje muszą:
Utrzymywać aktualny przegląd wszystkich dostawców IT i oprogramowania
Zawrzeć umowne ustalenia dotyczące bezpieczeństwa ze wszystkimi istotnymi dostawcami
Regularnie oceniać bezpieczeństwo dostawców
Ustalić procedury eskalacji incydentów z krytycznymi dostawcami oprogramowania
Bez uporządkowanego przeglądu oprogramowania zgodność z NIS2 nie jest możliwa. SoftVaro pomaga organizacjom stworzyć taki przegląd jako punkt wyjścia do zgodności.
Najczęściej zadawane pytania
Najczęściej zadawane pytania dotyczące tego tematu.
Co NIS2 ma wspólnego z zakupami oprogramowania?
NIS2 zobowiązuje organizacje do utrzymywania aktualnego przeglądu całego oprogramowania i dostawców IT, w tym umownych ustaleń dotyczących bezpieczeństwa. Bez tego przeglądu nie jesteś zgodny z przepisami.
Kiedy NIS2 zacznie obowiązywać w Holandii?
Ustawa o cyberbezpieczeństwie (holenderska implementacja NIS2) jest spodziewana w II kwartale 2026 roku. Organizacje muszą być zgodne z przepisami od momentu wejścia ustawy w życie.
Jakie są kary za nieprzestrzeganie NIS2?
Podmioty podstawowe mogą otrzymać kary do 10 milionów euro lub 2% światowego rocznego obrotu. Podmioty ważne do 7 milionów euro lub 1,4% rocznego obrotu. Członkowie zarządu mogą ponosić osobistą odpowiedzialność.
Gotowy, aby oszczędzać na oprogramowaniu?
SoftVaro negocjuje dla Ciebie najlepsze oferty u ponad 4 000 dostawców. Niezależnie, transparentnie, w ciągu 24 godzin.