Fundacje rodzinne

Rejestrujemy i prowadzimy bieżącą obsługę prawną i podatkową fundacji rodzinnych.
Dowiedz się więcej
14:01 Publikacja: 15.04.25

Współpraca z organami nadzoru w świetle NIS2

Dyrektywa NIS2 precyzuje obowiązki dotyczące współpracy z organami nadzoru. Dla wielu firm – zarówno tych zaliczanych do podmiotów kluczowych, jak i ważnych – oznacza to konieczność dostosowania polityk, procedur i dokumentacji obowiązujących już w organizacji do nowych wymagań w zakresie cyberbezpieczeństwa. W tym artykule przedstawiamy,  jakie obowiązki w zakresie współpracy z organami nadzoru nakłada NIS2 oraz czym różnią się one od regulacji zawartych w poprzedniej dyrektywie.

NIS1 a NIS2

W NIS1 obowiązki współpracy z organami koncentrowały się na zgłaszaniu incydentów przez operatorów usług kluczowych i dostawców usług cyfrowych. Nie istniały jasno sprecyzowane mechanizmy stałej współpracy, a interakcje z organami nadzoru miały głównie charakter reaktywny. NIS2 wprowadza istotną zmianę w podejściu do współpracy z właściwymi organami, która staje się obowiązkiem o charakterze bardziej aktywnym i bieżącym. 

Zgłaszanie incydentów

Regulacje NIS2 wprowadzają bardziej szczegółowe obowiązki w zakresie zgłaszania incydentów niż NIS1 – teraz procedura zgłaszania incydentu zawiera kilka etapów. Oznacza to konieczność kontaktowania się z właściwymi organami kilkukrotnie w celu przedstawienia odpowiednich dokumentów. Organ odsyła do podmiotu zgłaszającego informacje zwrotne. Można zawnioskować do organu o wytyczne, porady, a także wsparcie techniczne.

Więcej na ten temat pisaliśmy w artykule.


Nadzór

Zgodnie z dyrektywą, organy nadzoru są uprawnione do monitorowania, przestrzegania i egzekwowania przepisów NIS2 oraz stosowania środków nadzoru. Środki te mają być skuteczne, proporcjonalne i odstraszające, stosownie do okoliczności każdego indywidualnego przypadku. Organy są uprawnione wobec podmiotów kluczowych w szczególności do:

a) kontroli na miejscu i nadzoru zdalnego, w tym wyrywkowych kontroli prowadzonych przez przeszkolonych specjalistów,

b) regularnych ukierunkowanych audytów bezpieczeństwa prowadzonych przez niezależną instytucję lub właściwy organ,

c) audytów doraźnych, w tym w uzasadnionych przypadkach – w związku z wystąpieniem poważnego incydentu lub z naruszeniem przepisów dyrektywy,

d) skanów bezpieczeństwa na podstawie obiektywnych, niedyskryminacyjnych, sprawiedliwych i przejrzystych kryteriów szacowania ryzyka, w razie potrzeby we współpracy z danym podmiotem,

e) wniosków o udzielenie informacji niezbędnych do oceny środków zarządzania ryzykiem w cyberbezpieczeństwie przyjętych przez dany podmiot, w tym udokumentowanej polityki cyberbezpieczeństwa,

f) wniosków o udzielenie dostępu do danych, dokumentów i informacji koniecznych do wykonywania ich zadań nadzorczych,

g) wniosków o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa, takich jak wyniki audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora oraz odpowiednie dowody.

W odniesieniu do podmiotów ważnych uprawnienia te mogą być wykonywane  ex post, czyli po fakcie. 


Rejestr podmiotów

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) tworzy i prowadzi rejestr:

  • dostawców usługi DNS, 
  • rejestrów nazw TLD, 
  • dostawców usług chmurowych, 
  • dostawców usług ośrodka przetwarzania danych, 
  • dostawców sieci dostarczania treści, 
  • dostawców usług zarządzanych, 
  • dostawców usług zarządzanych w zakresie bezpieczeństwa, 
  • dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych.

Podmioty, o których mowa wyżej, będą zobowiązane zgłosić informacje do odpowiedniego punktu kontaktowego w swoim państwie. Zgłoszenie ma składać się z następujących danych:

  • nazwy podmiotu,
  • odpowiedniego sektora, podsektora i rodzaju podmiotu, 
  • adresu głównego miejsca prowadzenia działalności podmiotu oraz jego innych prawnych miejsc prowadzenia działalności,
  • aktualnych danych kontaktowych, w tym adresów poczty elektronicznej i numerów telefonów podmiotu oraz, w stosownych przypadkach, wyznaczonego przedstawiciela 
  • państwa członkowskie, w których podmiot świadczy usługi oraz
  • zakresów IP podmiotu.

Wymienione podmioty będą musiały również, w terminie 3 miesięcy, informować właściwy organ o zmianach tych danych. 


Wnioski i rekomendacje

NIS2 zmienia podejście do współpracy podmiotów kluczowych i ważnych z organami nadzoru. Staje się ona bardziej systematyczna i szczegółowo uregulowana. Nowa dyrektywa rozszerza również katalog uprawnień organów nadzoru, które mogą teraz m.in. żądać szczegółowych informacji, prowadzić kontrole na miejscu, wymuszać działania naprawcze lub ujawnienie cyberzagrożenia klientom, którym świadczone są usługi. NIS2 przewiduje również nakładanie przez organy sankcji finansowych za nieprzestrzeganie przepisów, w tym brak współpracy.

Jeśli chcesz wiedzieć, jak się przygotować do wymogów organów nadzoru z NIS2 – skontaktuj się z nami. 

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy: [link


Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
[addtoany]