W 2025 roku Unia Europejska wprowadziła dwa kluczowe akty prawne mające na celu wzmocnienie cyberbezpieczeństwa: Dyrektywę NIS2 oraz Rozporządzenie DORA. Oba dokumenty nakładają na przedsiębiorstwa, w tym te działające na Podhalu, nowe obowiązki w zakresie ochrony przed cyberzagrożeniami.

Dyrektywa NIS2: Rozszerzenie zakresu i nowe obowiązki

Dyrektywa NIS2 (Network and Information Security) zastępuje wcześniejszą dyrektywę NIS z 2016 roku, wprowadzając bardziej rygorystyczne wymogi oraz rozszerzając zakres podmiotów objętych regulacjami. Nowe przepisy dotyczą nie tylko operatorów usług kluczowych, ale także dostawców usług cyfrowych w sektorach takich jak energetyka, transport, bankowość, ochrona zdrowia czy infrastruktura cyfrowa. Oznacza to, że wiele przedsiębiorstw, które wcześniej nie podlegały tym regulacjom, teraz musi dostosować się do nowych wymogów. Jednym z głównych obowiązków nałożonych przez NIS2 jest wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych oraz organizacyjnych w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem. Przedsiębiorstwa muszą również zgłaszać incydenty cyberbezpieczeństwa odpowiednim organom w określonym czasie. Naruszenie tych obowiązków może skutkować dotkliwymi karami finansowymi.

Rozporządzenie DORA: Skupienie na sektorze finansowym

Rozporządzenie DORA (Digital Operational Resilience Act) koncentruje się na wzmocnieniu odporności cyfrowej sektora finansowego. Obejmuje ono szeroki wachlarz podmiotów, w tym banki, firmy ubezpieczeniowe, fundusze inwestycyjne oraz dostawców usług ICT świadczących usługi dla sektora finansowego. Celem DORA jest zapewnienie, że instytucje finansowe są w stanie skutecznie przeciwdziałać, reagować oraz odzyskiwać sprawność po incydentach związanych z ICT. Naruszenie przepisów DORA może prowadzić do poważnych konsekwencji finansowych oraz reputacji danej instytucji.

Przedsiębiorstwa na Podhalu objęte regulacjami

Na Podhalu przedsiębiorstwa działające w sektorach takich jak energetyka, transport, finanse, zdrowie oraz infrastruktura cyfrowa są zobowiązane do przestrzegania wymogów Dyrektywy NIS2. Oznacza to, że lokalne firmy energetyczne, przewoźnicy, banki spółdzielcze, placówki medyczne oraz dostawcy usług internetowych muszą dostosować swoje procedury do nowych standardów cyberbezpieczeństwa. W przypadku Rozporządzenia DORA, podmioty z sektora finansowego na Podhalu, takie jak banki, firmy ubezpieczeniowe czy doradcy inwestycyjni, są zobowiązane do wdrożenia określonych środków mających na celu wzmocnienie odporności operacyjnej na incydenty cyfrowe.

Konsekwencje nieprzestrzegania przepisów

Niezastosowanie się do wymogów Dyrektywy NIS2 może skutkować nałożeniem m.in. kar finansowych, które dla podmiotów kluczowych mogą sięgać do 10 milionów euro lub 2% rocznego światowego obrotu. Podmioty ważne dla funkcjonowania gospodarki mogą zostać ukarane grzywną do 7 milionów euro lub 1,4% rocznego obrotu. Ponadto istnieją kary administracyjne oraz kary w postaci środków niepieniężnych. Decyzje o nałożeniu kary wydają krajowe organy nadzorcze. Od decyzji przysługuje odwołanie. W przypadku Rozporządzenia DORA, instytucje mogą zostać obciążone znacznymi karami finansowymi oraz innymi sankcjami administracyjnymi, takimi jak zawieszenie certyfikacji czy ograniczenia w prowadzeniu działalności.

W celu zapewnienia zgodności z nowymi regulacjami oraz uniknięcia kar przedsiębiorstwa powinny dokładnie zapoznać się z obowiązującymi przepisami, przeanalizować i ocenić ryzyka, a następnie wdrożyć odpowiednie środki (technologie oraz procedury), jak również przeszkolić personel w zakresie cyberberzpieczeństwa.

Agata Czarnota, 

Polsko-Amerykańska Kancelaria Prawna 

Tel.: +48 882 157 414 (PL), +1 312 380 0934 (USA) 

e-mail: [email protected]