eCommerce a dyrektywa NIS2 – nowe obowiązki już od połowy 2025 roku

• Najważniejsze założenia dyrektywy NIS2
• Kogo i w jakim zakresie obejmuje dyrektywa NIS2
• Obowiązki techniczne i organizacyjne
• Kary za niedostosowanie się do przepisów
• Czas na wdrożenie – warto działać już teraz
• Jak wdrożyć wymagania dyrektywy NIS2 na czas i bez stresu?

Choć dotychczas regulacje w zakresie cyberbezpieczeństwa koncentrowały się przede wszystkim na sektorach infrastruktury krytycznej, nowa dyrektywa NIS2 rozszerza ten zakres, obejmując również firmy z obszaru gospodarki cyfrowej – w tym eCommerce.

Oznacza to konieczność wdrożenia szeregu nowych procedur i mechanizmów ochronnych. Co istotne, termin implementacji dyrektywy jest coraz bliżej – w Polsce dyrektywa zaczyna obowiązywać w drugim kwartale 2025 roku.

Dyrektywa NIS2 (Network and Information Security Directive 2) wraz z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wprowadza zaostrzone i bardziej kompleksowe wymogi w zakresie ochrony przed cyberzagrożeniami. Głównym celem nowych regulacji jest wzmocnienie bezpieczeństwa kluczowych usług oraz infrastruktury na terenie Unii Europejskiej.

Dyrektywa zakłada znaczne rozszerzenie katalogu firm objętych obowiązkami. Co więcej, wyraźnie zaznacza wymagania dotyczące zarządzania ryzykiem, zabezpieczania systemów IT oraz monitorowania potencjalnych zagrożeń.

Dla branży eCommerce oznacza to konieczność analizy własnych procedur i potencjalnych luk w bezpieczeństwie.

W zakres dyrektywy wchodzą między innymi takie obowiązki jak:

• zarządzanie ryzykiem i raportowania incydentów dotyczących bezpieczeństwa,
• kontrola bezpieczeństwa dostawców, takich jak dostawcy oprogramowania czy systemów płatności online,
• przeprowadzanie regularnych audytów bezpieczeństwa oraz związanych z tym szkoleń pracowników.

Implementacja tych wymogów wymagać będzie przeprowadzenia kompleksowej analizy luk w zabezpieczeniach oraz inwestycji w systemy ochrony danych, co stanowi istotne wyzwanie organizacyjne i finansowe.

Platformy sprzedażowe, dostawcy usług hostingowych, firmy przetwarzające płatności online czy operatorzy chmurowi – wszystkie te podmioty zostały włączone do nowego systemu regulacyjnego.

Oznacza to, że nawet średniej wielkości firmy, które dotąd nie były zobligowane do spełniania standardów bezpieczeństwa, będą musiały dostosować się do europejskich norm. W jaki sposób unijna dyrektywa klasyfikuje firmy?

Klasyfikacja firm według NIS2:

• Podmioty istotne (Essential Entities) – należą do nich organizacje działające w najbardziej newralgicznych sektorach gospodarki, takich jak energetyka, zdrowie publiczne czy infrastruktura finansowa.
• Podmioty ważne (Important Entities) – obejmują m.in. przedsiębiorstwa cyfrowe, dostawców usług online, platformy e-commerce oraz firmy hostingowe.

Najmniejsze przedsiębiorstwa – zatrudniające poniżej 50 osób i osiągające roczny obrót niższy niż 10 mln euro – zostały częściowo wyłączone spod przepisów NIS2. Z kolei średnie firmy (zatrudniające od 50 do 250 osób, z obrotami do 50 mln euro) oraz małe przedsiębiorstwa działające w sektorach kluczowych z perspektywy cyberbezpieczeństwa muszą spełniać nowe wymagania.

W praktyce oznacza to, że eCommerce mieszczące się w tych kryteriach, podlega obowiązkowi wdrożenia odpowiednich środków ochrony i dostosowania się do zapisów dyrektywy.

Wprowadzenie dyrektywy NIS2 wiąże się z szeregiem obowiązków, które zwłaszcza dla mniejszych firm, mogą stanowić znaczne obciążenie organizacyjne i finansowe. Obowiązki te to między innymi:

• Raportowanie incydentów – firmy muszą zgłaszać naruszenia cyberbezpieczeństwa w ciągu 24-72 godzin. W praktyce oznacza to konieczność zapewnienia stałego monitoringu, często realizowanego przez dedykowane zespoły lub zewnętrznych dostawców usług.
• Audyt i certyfikacja – wykonywanie regularnych kontroli stanu zabezpieczeń może wymagać zaangażowania wyspecjalizowanych firm zewnętrznych.
• Inwestycje w infrastrukturę – konieczność wdrożenia nowoczesnych narzędzi monitorujących, zapór sieciowych (firewalli) oraz systemów do wykrywania i reagowania na incydenty.
• Szkolenia pracowników – firmy są zobowiązane do systematycznego podnoszenia kompetencji pracowników w zakresie cyberbezpieczeństwa.

Nietrudno zauważyć, że nowe wymagania zmuszają firmy nie tylko do reorganizacji dotychczasowych procesów, lecz także do opracowania i wdrożenia zupełnie nowych procedur operacyjnych.

Dyrektywa NIS2 przewiduje kary finansowe dla podmiotów, które nie spełnią wymaganych standardów. Dla podmiotów istotnych maksymalna wysokość grzywny może sięgnąć 10 mln euro lub 2% całkowitego rocznego obrotu – zależnie od tego, która wartość będzie wyższa.

Podmioty ważne, w tym liczne firmy z sektora e-commerce, mogą zostać ukarane kwotą do 7 mln euro lub 1,4% rocznego obrotu. To pokazuje, jak poważnie instytucje unijne traktują kwestię bezpieczeństwa cyfrowego i jak duże znaczenie ma szybkie dostosowanie się do nowych realiów.

Zgodnie z harmonogramem, państwa członkowskie mają czas na implementację przepisów NIS2 do października 2024 roku. W Polsce uchwalenie odpowiednich regulacji planowane jest na drugi kwartał 2025 roku.

Choć formalnie pozostało jeszcze trochę czasu, to warto go wykorzystać na kompleksowe przygotowania – od audytów systemów, przez analizę ryzyka, po wdrożenie konkretnych rozwiązań technologicznych i procedur.

Firmy, które potraktują nadchodzące zmiany strategicznie, nie tylko unikną sankcji, ale również zwiększą poziom odporności na cyberataki.

Wymagania NIS2 dotyczą coraz większej liczby sklepów internetowych - jeśli Twój też jest na tej liście, warto działać.

W Advox wspieramy eCommerce w realizacji wdrożeń technicznych, które są niezbędne do spełnienia nowych obowiązków. Zapewniamy wsparcie w modelu SLA 24/7, dzięki czemu działanie e-sklepu jest cały czas monitorowane. Porozmawiajmy, jak najlepiej przygotować Twój sklep na wymagania NIS2 – zostaw kontakt, a odezwiemy się do Ciebie.

Źródło