Najważniejsza dla cyberbezpieczeństwa ustawa wdrażająca NIS2 czeka na podpis Prezydenta

1 dzień temu 19
ZIZOO.PL

Firma w której pracujesz może już niebawem stać się elementem “systemu cyberbezpieczeństwa”, co wiąże się z nowymi obowiązkami i ewentualnymi karami za ich niespełnienie. Wszystko dzięki ustawie, która bez poprawek niedawno została przyjęta przez Senat. Jeśli Prezydent ją podpisze, to czeka nas (jako społeczeństwo) sporo pracy. Jeśli nie podpisze, to też mamy problem ;)

Krajowy System Cyberbezpieczeństwa nadchodzi

28 stycznia w trakcie 51. posiedzenia Senatu przyjęto bez poprawek nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw. Potocznie ta ustawa określana jest skrótami UKSC2 lub KSC2. Jej znaczenie jest ogromne bo wdraża ona unijną dyrektywę NIS2.

Ze swoich doświadczeń szkoleniowych wiemy, że świadomość tematu NIS2 jest raczej niska, nawet na wysokich stanowiskach w firmach. A ten temat warto znać. Jeśli jednak chcemy go dobrze wyjaśnić, to musimy zacząć od unijnej dyrektywy.

Oto artykuł z cyklu wszystko co chcieliście wiedzieć o NIS2, ale baliście się zapytać (albo w ogóle nie wiedzieliście, że możecie). Przekażcie go swoim Zarządom. I prawnikom. I działom Compliance. Ludziom od bezpieczeństwa nie musicie przekazywać, bo wszytko to już wiedzą, prawda? PRAWDA?!

Jeśli zamiast czytać, wolicie posłuchać, to dajcie znać, bo mamy zwarty, konkretny 90 minutowy power-speech dotyczący NIS2. Przystępnym językiem wyjaśnia zawiłości, przekazuje “najlepsze praktyki” i przede wszystkim bazuje na konkretnych case studies. Wykład możemy zrealizować także w podejściu bardziej warsztatowym. Przeszkoliliśmy już kilka Zarządów i grup złożonych z działów IT, prawny, compliance, Odezwijcie się pisząc na projekty@niebezpiecznik.pl albo dzwoniąc na 12 4420244 to i Waszą firmę przygotujemy na nowe wyzwania wynikające z NIS2.

Czym jest NIS2?

NIS to skrót od “Network and Information Systems Directive“, czyli jest to kawałek unijnego prawa dotyczącego bezpieczeństwa sieci i e-usług. Pierwsza wersja tej dyrektywy powstała w 2016 roku i to ona wprowadziła pierwsze unijne obowiązki w zakresie krajowych strategii bezpieczeństwa. Tak, już 10 lat temu pomyślano o tym, by zmusić różne podmioty do współpracy i wymieniania się informacjami w zakresie bezpieczeństwa. To właśnie dyrektywa NIS wprowadziła sieci CSIRT-ów i ustanowiła pierwsze wymogi bezpieczeństwa dla tzw. operatorów usług kluczowych. Dyrektywa nie działała jednak bezpośrednio — wymagała transpozycji do prawa krajowego. W Polsce dokonano tego za pomocą pierwszej Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma już ponad 7 lat

NIS2 (znana też jako dyrektywa 2022/0383) to przyjęta w grudniu 2022 r. nowa wersja dyrektywy NIS. Weszła ona w życie 16 stycznia 2023r. Tekst dyrektywy stanowi, że do 17 października 2024 państwa członkowskie mają obowiązek przyjąć i opublikować prawo niezbędne do wdrożenia tej dyrektywy. Od 18 października 2024r. jej przepisy powinny być stosowane. Jeśli chcesz się zapoznać z pełnym tekstem dyrektywy to jest on dostępny m.in. na stronie EUR-LEX. Uważny Czytelnik dostrzeże, że mamy 2026 rok, a wdrożenia ustawy w Polsce wciąż brak.

Co z polską ustawą?

NIS2 to nie jest rozporządzenie jak RODO. To dyrektywa, która musi być transponowana do polskiego prawa. W kwietniu 2024 Niebezpiecznik pisał o rozpoczęciu prac nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa (nazwijmy ją KSC2). W czerwcu zakończyły się konsultacje publiczne i swoje uwagi zgłosiło mnóstwo podmiotów. Opublikowano też opinie zgłoszone przez urzędy.

Jak widać – wszystkim zajęto się na ostatnią chwilę i dopiero 7 listopada 2025 ustawa wpłynęła do Sejmu. Potem były czytania i prace w komisjach. 23 stycznia tego roku przyjęto ustawę (w III czytaniu) i trafiła ona do Senatu. Ten przyjął ustawę bez poprawek. Na drodze do wejścia w życia został Prezydent, który… jak wiemy, potrafi zaskoczyć. Załóżmy jednak, że veta nie będzie.

Co zmienia NIS2?

Przede wszystkim NIS2 znacznie rozszerzyła krąg podmiotów wchodzących do tzw. systemu cyberbezpieczeństwa. Co jeszcze ważniejsze, podmioty będą musiały same się zgłaszać do systemu. Mówiąc bardziej szczegółowo…

  1. wcześniej prawo dotyczące cyberbezpieczeństwa obejmowało tzw. dostawców usług kluczowych. Nowe prawo rozróżnia tzw. podmioty kluczowe (essential entities) oraz podmioty ważne (important entities). Sektory kluczowe zostały zdefiniowane w załączniku I do dyrektywy, a sektory ważne w załączniku II.
  2. Na podmioty objęte Dyrektywą NIS2 zostają nałożone większe niż dotychczas wymagania w zakresie bezpieczeństwa.
  3. Dyrektywa precyzuje zapisy w zakresie:
    1. raportowania incydentów,
    2. odpowiedzialności kierownictwa za stosowanie odpowiednich środków,
    3. nowych mechanizmów współpracy i uprawnień instytucji (w tym wzmocnienie roli ENISA).

Czyli… nowe przepisy mogą dotyczyć i Twojej firmy i możesz też dostać karę za brak spełnienia tych wymagań.

Kogo obejmuje NIS2 / KSC2?

Sama dyrektywa NIS2 wskazuje na następujące rodzaje sektorów kluczowych:

  1. Energetyka (w tym energia elektryczna, system ciepłowniczy lub chłodniczy, ropa, gaz, wodór)
  2. Transport (lotniczy, kolejowy, wodny, drogowy)
  3. Bankowość
  4. Opieka zdrowotna
  5. Woda pitna
  6. Ścieki
  7. Infrastruktura cyfrowa czyli:
    1. dostawcy punktu wymiany ruchu internetowego,
    2. dostawcy usług DNS z wyłączeniem operatorów głównych serwerów nazw,
    3. rejestry nazw TLD,
    4. dostawcy usług chmurowych,
    5. dostawcy usług ośrodka przetwarzania danych,
    6. dostawcy sieci dostarczania treści,
    7. dostawcy usług zaufania,
    8. dostawcy publicznych sieci łączności elektronicznej,
    9. dostawcy publicznie dostępnych usług łączności elektronicznej.
  8. Zarządzanie usługami ICT (między przedsiębiorstwami) czyli:
    1. dostawcy usług zarządzanych,
    2. dostawcy usług zarządzanych w zakresie bezpieczeństwa,
  9. Podmioty administracji publicznej
  10. Przestrzeń kosmiczna (w tym operatorzy infrastruktury naziemnej).

Ponadto dyrektywa wskazuje sektory ważne.

  1. Usługi pocztowe i kurierskie
  2. Gospodarowanie odpadami
  3. Produkcja, wytwarzanie i dystrybucja chemikaliów
  4. Produkcja, przetwarzanie i dystrybucja żywności
  5. Produkcja w tym:
    1. wyrobów medycznych,
    2. komputerów, wyrobów elektronicznych i optycznych
    3. urządzeń elektrycznych
    4. maszyn i urządzeń, gdzie indziej niesklasyfikowana
    5. pojazdów samochodowych, przyczep i naczep
    6. pozostałego sprzętu transportowego
  6. Usługi cyfrowe w tym:
    1. platformy e-handlu,
    2. wyszukiwarki internetowe,
    3. sieci społecznościowe
  7. Badania (organizacje badawcze).

To powyżej to katalog z dyrektywy a w tekście ustawy przekazanym do Senatu mamy coś bardzo podobnego (zob. str. 171 projektu). Co różni podmioty kluczowe i ważne? Obowiązki są w zasadzie podobne, natomiast różnice dotyczą sposobu nadzoru (dla kluczowych jest bardziej proaktywny) i nakładania kar (kluczowi oczywiście mogą zapłacić więcej).

W której kategorii jest moja firma?

Zaliczenie podmiotu do danej kategorii może być problemowe. Przykładowo możecie prowadzić firmę z branży budowlanej i może się wydawać, że ten sektor nie wchodzi w system cyberbezpieczeństwa. Jeśli jednak ta sama firma oferuje utylizację odpadów, to mamy jeden z sektorów ważnych. Istnieją takie firmy, które będą musiały przeprowadzić dość żmudne analizy prawne aby ustalić, czy do systemu wchodzą czy nie.

Istnieje jeszcze kryterium wielkości. Podmioty kluczowe będą musiały w większości być firmami przewyższającymi wymogi dla przedsiębiorstw średnich (w kontekście rozporządzenia KE nr 651/2014), ale niektóre podmioty będą wchodzić do systemu niezależnie od wielkości (np. kwalifikowani dostawcy usług zaufania albo podmiot świadczący usługi rejestracji nazw domen).

Przedsiębiorcy mikro i mali też mogą wejść do systemu jako podmioty ważne jeśli np. świadczą usługi komunikacji elektronicznej. Przepisy regulujące wchodzenie do systemu to ładnych kilka stron, a interpretacja tych przepisów to dość złożona sprawa. Nie ma prostych odpowiedzi.

A teraz najważniejsze. Dotąd podmioty objęte systemem bezpieczeństwa wyznaczano w drodze decyzji. NIS2 i nowa ustawa wymagają by te firmy same rejestrowały się w systemie podmiotów kluczowych i ważnych. Niezgłoszenie się do systemu rodzi ryzyko nałożenia kar.

I to jest dobry moment, aby jeszcze raz przypomnieć i polecić nasz power-speech lub warsztaty dotyczące NIS2. W ich trakcie nie tylko wyjaśnimy czym jest NIS2 i jak bardzo dotyczy Waszej firmy, ale możemy też wspólnie przejść przez różne ryzyka, obowiązki i analizy, które dotyczyć będą konkretnych usług świadczonych przez Waszą firmę. Wytłumaczymy co trzeba zrobić, jak najlepiej to zrobić oraz czego lepiej nie robić ;) Odezwijcie się pisząc na projekty@niebezpiecznik.pl albo dzwoniąc na 12 4420244.

Jakie obowiązki wprowadzi NIS2/KSC2?

Generalnie podmioty kluczowe i ważne będą musiały (a nie tylko mogły) zadbać o swoje bezpieczeństwo. To oznacza m.in. wdrożenie systemów zarządzania bezpieczeństwem informacji, które mają obejmować:

  1. systematyczne szacowanie ryzyka (rzecz nieobca wielu firmom dzięki RODO),
  2. środki techniczne i organizacyjne gwarantujące bezpieczeństwo (o tym co to znaczy będzie za chwilę),
  3. zbieranie informacji o zagrożeniach i podatnościach na incydenty,
  4. zarządzanie incydentami,
  5. stosowanie środków ograniczających wpływ incydentów,
  6. stosowanie bezpiecznych środków komunikacji uwzględniających uwierzytelnianie dwuskładnikowe.

Ponadto podmioty kluczowe i ważne będą zobowiązane do przekazywania różnych informacji, dokumentów i danych na żądanie właściwych “organów ds. cyberbezpieczeństwa”. Te organy będą różne w różnych branżach czy sektorach np. ABW dla jednostek sektora publicznego, Prezes UKE dla sektora infrastruktury cyfrowej albo minister ds. klimatu dla jednostek gospodarujących odpadami.

Co to są “środki techniczne i organizacyjne” oraz “ograniczanie wpływu incydentów”?

To jest odwieczny problem, który daje o sobie znać od czasów RODO. Prawo mówi, że trzeba stosować “odpowiednie środki” ale nie mówi jakie. Wbrew pozorom jest to feature, a nie bug ponieważ różne środki bezpieczeństwa mogą się aktualizować lub dezaktualizować. Mimo wszystko istnieją takie, o których wiadomo, że powinny być stosowane. Dobrym przykładem jest np. szyfrowanie nośników albo robienie backupów. Albo 2FA. Wszyscy wiedzą, że można to robić, ale nie każdy wie jak zrobić to poprawnie — w praktyce bywa różnie.

Ustawa i dyrektywa mówią tyle, że stosowane środki bezpieczeństwa mają…

  1. być dopasowane do ryzyka i charakteru organizacji, ogólnie proporcjonalne (tzn. biorące pod uwagę koszty, wielkość firmy, jej charakter itd.);
  2. być dopasowane do aktualnego stanu wiedzy;
  3. obejmować polityki szacowania ryzyka i tematyczne;
  4. pozwalać na bezpieczną eksploatację systemu;
  5. obejmować kontrolę dostępu w zakresie fizycznym i środowiskowym;
  6. obejmować plany działania zapewniające poufność, integralność, dostępność i autentyczność;
  7. obejmować procedury kryptografii i szyfrowania,
  8. obejmować edukację personelu m.in. z zasad “cyberhigieny”

Ustawa wspomina też o ograniczaniu wpływu incydentów poprzez m.in. regularne aktualizowanie oprogramowania (a z tym różnie bywa), ochronę przed nieuprawnionymi modyfikacjami danych oraz niezwłoczne podejmowane działań po dostrzeżeniu zagrożeń. Wielu z was czytając o tych wymogach może mieć skojarzenia z RODO i rzeczywiście – wiele podobnych wymogów już wcześniej wprowadzono w zakresie ochrony danych osobowych. Stosując przepisy NIS2 trzeba będzie dbać o bezpieczeństwo wielu innych systemów i w wielu różnych branżach.

Ten wymóg monitoringu i reakcji po dostrzeżeniu zagrożeń to bardzo sensowne podejście. A temu jak niskim kosztem zbudować dopasowany system wykrywania anomalii i atakujących buszujących po naszej sieci poświęciliśmy cykl krótkich (~2h) internetowych szkoleń pt. “SOC w Praktyce“. Zapiszcie się na udział w 1 części tego szkolenia, które odbędzie się już w czwartek, 19 lutego o godz. 19:00, nawet jak Wam ten termin nie pasuje, bo szkolenie jest nagrywane i macie 30 dni na zapoznanie się z jego zapisem, więc na pewno zdążycie. Tutaj link bezpośrednio do koszyka.

Ponadto podmioty kluczowe i ważne będą miały pewne obowiązki związane z wymienianiem się informacjami.

Czy będą obowiązkowe audyty albo kontrole?

Będzie obowiązek robienia audytów systemów informatycznych co najmniej raz na 3 lata, na własny koszt. Przeprowadzenie audytu może też być nakazane odgórnie przez organ odpowiedzialny za kwestie cyberbezpieczeństwa.

Ponadto CSIRTY (MON,NASK, GOV lub CSIRT sektorowy) mogą przeprowadzić tzw. ocenę bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty wchodzące w skład systemu. W KSC2 jest o tym cały nowy rozdział (6a). Przeprowadzanie takiej oceny ma następować przy minimalnym zakłócaniu normalnej pracy podmiotu. W ramach tych działań CSIRT-y będą mogły uzyskiwać nawet informacje dla nich nieprzeznaczone poprzez ominięcie zabezpieczeń.

Uwaga: posiadanie wcześniej jakiegoś certyfikatu (np. ISO) z niczego nie zwalnia. Nie będzie istniało coś takiego jak “pieczątka NIS2 compliant“, której kupienie zagwarantuje spokój. Trzeba będzie naprawdę prowadzić procesy bezpieczeństwa.

Jak będzie wyglądało zgłaszanie incydentów?

Same incydenty będą w nowej ustawie definiowane jako

zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych

Nowa ustawa o KSC ma wprowadzić definicję incydentu poważnego tzn. takiego, który powoduje lub może spowodować

  1. poważne obniżenie jakości lub
  2. przerwanie ciągłości świadczenia usługi lub
  3. straty finansowe dla tego podmiotu lub
  4. wpływa na inne osoby fizyczne.

Ustawa wprowadzi też definicję “incydentu w cyberbezpieczeństwie na dużą skalę“. Będzie to taki incydent, którego skutki przekraczają możliwości reagowania państwa lub ma poważny wpływ na inne państwo członkowskie.

Incydenty trzeba będzie zgłaszać dość szybko:

  1. W ciągu 24 godzin od wykrycia incydentu podmioty kluczowe i ważne będą musiały dokonać tzw. wczesnego ostrzeżenia o incydencie. Wczesne ostrzeżenie będzie mogło zawierać wniosek o udzielenie wsparcia technicznego przy obsłudze incydentu.
  2. W ciągu 72 godzin trzeba będzie przekazać zgłoszenie incydentu poważnego.
  3. Dostawca usług zaufania zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia.

Incydenty mają być zgłaszane do sektorowych CSIRT-ów (których będzie więcej). Zgłoszenia będą obejmować informacje znane w chwili dokonywania zgłoszenia, które potem będzie można uzupełnić.

Użytkownikom też trzeba będzie dać znać po wpadce

Podmioty objęte ustawą mogą być również zobowiązane do poinformowania użytkowników o incydencie. Będzie to miało miejsce w sytuacji gdy:

  1. zagrożenie może mieć wpływ na użytkowników,
  2. nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów.

Nowe uprawnienie ministra: “polecenie zabezpieczające”?

Nowa ustawa o KSC ma wprowadzić nowe narzędzie dla ministra cyfryzacji — polecenie zabezpieczające. W razie wystąpienia incydentu krytycznego minister będzie mógł wydać takie polecenie dla dowolnego zestawu podmiotów kluczowych i ważnych.

Polecenie będzie mogło dotyczyć:

  • zakazania stosowania konkretnego produktu
  • nakazania przeprowadzenia analizy ryzyka w związku z jakimś produktem;
  • nakazania wykonania przeglądów planów ciągłości działania i planów odtworzenia działalności;
  • obowiązkowego zastosowania określonej poprawki bezpieczeństwa w produkcie;
  • zastosowania szczególnej konfiguracji produktu ICT;
  • monitorowania zachowania systemu;
  • wprowadzenia ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury podmiotu kluczowego lub podmiotu ważnego;
  • wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania;
  • zabezpieczenia określonych informacji, w tym dzienników systemowych;
  • wytworzenia obrazów stanu określonych urządzeń zainfekowanych złośliwym oprogramowaniem.

Polecenia zabezpieczające będą ogłaszane w dzienniku urzędowym ministra cyfryzacji. Polecenie będzie mogło obowiązywać na czas obsługi incydentu albo na czas nieokreślony, ale nie dłuższy niż 2 lata. W ustawie przewidziano możliwość zaskarżenia polecenia.

Kto będzie odpowiadał w firmie za sprawy cyber?

To kierownicy podmiotów kluczowych i ważnych będą odpowiadać za wykonywanie powyższych obowiązków, co ważne…

także wtedy, gdy niektóre z obowiązków zostały powierzone innej osobie za jej zgodą

Jeśli “kierownikiem” będzie organ wieloosobowy to wszyscy członkowie organu będą ponosić odpowiedzialność. Kierownicy mają opracować plany, przekazać finanse na ich realizacje, przydzielić zadania, zadbać o przygotowanie personelu. Raz na rok sam kierownik ma przejść szkolenie z zakresu wykonywania tych obowiązków i ma to być udokumentowane. Przewidziano możliwość finansowego ukarania kierowników za uchybianie tym obowiązkom.

Czy będą wysokie kary za uchybienia?

Jeszcze jak! Kary pieniężne będą przewidziane dla podmiotów kluczowych lub ważnych, które m.in.:

  1. nie uzupełniły  danych w wykazie podmiotów kluczowych i podmiotów ważnych pomimo wezwania,
  2. nie przeprowadziły analiz ryzyka lub nie zarządzały ryzykiem,
  3. nie wdrożyły systemu zarządzania bezpieczeństwem informacji,
  4. nie wdrożyły środków bezpieczeństwa,
  5. nie usunęły podatności związanej z incydentem,
  6. nie przeprowadziły audytu,
  7. utrudniały wykonanie kontroli,
  8. nie wykonały zaleceń pokontrolonych,
  9. nie wdrożyły zalecenia zabezpieczającego,
  10. nie wykonują obowiązków określonych w innych przepisach (np. z art, 8, 10, 11 czy 53c, czy nawet 67c ust 1… generalnie dłuższy temat).

O wysokości kary zdecyduje organ ds. cyberbzpieczeństwa, ale nie będzie ona mogła przekroczyć w przypadku podmiotów kluczowych 10 mln euro lub 2% przychodów z roku poprzedniego przy czym zastosowanie ma kwota wyższa. Kara dla podmiotów kluczowych nie może być niższa niż 20 tys. zł. Podmioty ważne będą mogły dostać do 7 mln zł kary lub 1,4% przychodów, ale nie mniej niż 15 tys. zł.

Jeśli podmiot kluczowy lub ważny spowoduje poważne zagrożenie dla obronności, bezpieczeństwa państwa lub życia ludzi to pułap kary wynosi 100 mln zł. Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia.

Jak wspomnieliśmy, karę pieniężną będzie mógł dostać kierownik podmiotu, ale nie wyższą niż 300% otrzymywanego wynagrodzenia (obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop). Podkreślamy jednak, że kary w naszym artykule zostały opisane ogólnie i istnieją różne wyjątki (np. dla podmiotów publicznych, finansowych itd.). Szczegóły znajdziecie na str. 135 tego dokumentu.

Czy jest jeszcze coś ciekawego?

Projekt nowej ustawy o KSC ma pewne smaczki. Jest ich sporo, ale wymieńmy jeden, dotyczący wszystkich — a nie konkretnej branży.

Przykładowo proponowany jest art. Art. 26c, który stanowi, że CSIRT NASK będzie mógł prowadzić serwis umożliwiający sprawdzenie, czy dane użytkownika wyciekły (takie państwowe Have I Been Pwnd). Teoretycznie coś takiego już jest, ale usługa tego rodzaju nie miała mocnego umocowania prawnego. KSC2 uczyni tę sprawę bardziej jasną.

To nie wszystko…

Ustawa definiuje wiele innych rzeczy, które dotyczą np. źródeł finansowania, nadzoru nad CSIRT-ami, prowadzenia kontroli, funkcjonowania istotnych organów. Bardzo istotną częścią jest rozdział 13a, który zobowiązuję rząd do opracowania krajowego planu reagowania na incydenty i sytuacje kryzysowe na dużą skalę.

Jeśli Prezydent podpisze ustawę to wejdzie ona w życie po upływie miesiąca od dnia ogłoszenia. To jednak nie oznacza, że wszystko zmieni się tak szybko. Przykładowo Rada Ministrów będzie miała 6 miesięcy na opracowanie planu reagowania na incydenty kryzysowe. Podmioty, które z dniem wejścia w życie niniejszej ustawy spełniają przesłanki uznania ich za podmiot kluczowy albo za podmiot ważny, realizują obowiązki w brzmieniu nadanym ustawą w terminie 12 miesięcy od dnia wejścia w życie. Można więc powiedzieć, że jest jeszcze czas na przystosowanie się do NIS2/UKSC2, ale naszym zdaniem należało to robić już wcześniej. Jeśli odkładaliście sprawe “bo ustawy jeszcze nie ma” to wiedzcie, że ona może być ogłoszona lada dzień i wtedy zacznie się na dobre.

Do tego tekstu postanowiliśmy wybrać to, co jest szczególnie ważne z perspektywy obywatela i przedsiębiorcy. NIS2 to jest złożone prawo i nie da się go opisać zwięźle bez dodawania jakieś “ale” co kilka słów. Jeśli chciecie na poważnie ocenić, czy — a jeśli tak — to jakie obowiązki będzie musiała spełnić Wasza firma, to jeszcze raz zachęcamy, abyście zaprosili nas na 90 minutowe spotkanie (lub dłuższe warsztaty), w ramach których z przyjemnością wytłumaczymy i Zarządowi i IT i prawnikom i innym działom, jak powinny się na NIS2 przygotować. Chętni? To napiszcie tutaj albo zadzwońcie na 12 4420244.

Przeczytaj źródło
  1. Indeks
  2. Komputer
  3. Najważniejsza dla cyberbezpieczeństwa ustawa wdrażająca NIS2 czeka na podpis Prezydenta
CYBREX.PL

Trending

Popularne

Jak nie przepłacać w warsztacie? Kluczem jest wybór części. Dobra taktyka to oszczędność i jakość

Jak nie przepłacać w warsztacie? Kluczem jest wybór części. ...

22 godziny temu 25
Czarna seria Legii trwa. Niechlubny rekord

Czarna seria Legii trwa. Niechlubny rekord

19 godziny temu 21
2026: Ostatnia prosta po unijne fundusze. Na co mogą liczyć przedsiębiorcy?

2026: Ostatnia prosta po unijne fundusze. Na co mogą liczyć ...

19 godziny temu 20
Plany dla Warszawy i Budapesztu. Tusk rozmawiał z liderem węgierskiej opozycji

Plany dla Warszawy i Budapesztu. Tusk rozmawiał z liderem wę...

19 godziny temu 20
Ależ frustracja Papszuna. Tak piłkarz Legii rozjuszył trenera

Ależ frustracja Papszuna. Tak piłkarz Legii rozjuszył trener...

19 godziny temu 16

AZOX.PL
ENGLISH GOOGLE English (US) English (US) · Polish (PL) Polish (PL) ·
Informacje · Ciasteczka · Kontakt · Regulamin · Linki · Reklama · Disclaimer ·

© yxz 2026. Wszystkie prawa zastrzeżone.