Andersen Global

Blog

Dyrektywa NIS2 – środki zarządzania ryzykiem

2024 / 04 / 24

W poprzednim wpisie (można go przeczytać tutaj) omawialiśmy kogo obejmie Dyrektywa 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”), a dziś przedstawimy informacje o tym jakie środki zarządzania cyberbezpieczeństwem będą konieczne do wdrożenia.

Proporcjonalność i adekwatność

NIS2 wprowadza obowiązek przyjęcia przez podmioty kluczowe oraz podmioty ważne odpowiednich i proporcjonalnych środków zarządzania ryzykiem w cyberbezpieczeństwie w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty.  Zasady stosowania środków zarządzania ryzykiem są dokładnie takie same zarówno dla podmiotów kluczowych jak i ważnych i wymagają, aby przed wprowadzeniem tych środków dokonać analizy ryzyka obejmującej co najmniej poniższe elementy:

  • stopień narażenia danego podmiotu na ryzyko;
  • wielkość tego podmiotu;
  • prawdopodobieństwo wystąpienia incydentu;
  • dotkliwość incydentów, w tym skutki społeczne i gospodarcze incydentów.

Dobór proporcjonalnych środków musi opierać się także o najnowszy stan wiedzy, koszt wdrożenia oraz odpowiednie normy europejskie i międzynarodowe.

Podmioty objęte Dyrektywą będą miały zatem obowiązek ocenić ryzyko w swoje organizacji, a następnie zastosować środki adekwatne i wprost proporcjonalne do tego zidentyfikowanego ryzyka wystąpienia incydentu cyberbezpieczeństwa. Każdy z tych elementów wymagać będzie udokumentowania i uzasadnienia na wypadek wystąpienia incydentu lub kontroli ze strony odpowiednich organów.

Jakie polityki i procedury będą obowiązkowe?

Pomimo tego, że Dyrektywa nie precyzuje wprost, jakie środki bezpieczeństwa mają być wystarczające dla zapewnienia odpowiedniej ochrony, to wskazuje kluczowe elementy takich środków, które podmioty muszą wdrożyć. Zgodnie z par. 2 artykułu 21 Dyrektywy, są to:

  • polityka analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • obsługa incydentu;
  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Należy zauważyć, że wskazane w treści Dyrektywy elementy środków zarządzania ryzykiem są na tyle ogólne, że trudno jednoznacznie określić na czym poszczególne środki mają polegać. W niektórych przypadkach jest jednak i łatwiej – przykładowo dla zapewnienia bezpieczeństwa łańcucha dostaw, który wpływa na działalność oraz bezpieczeństwo innych, podmioty stosujące NIS2 powinny uwzględnić m.in. podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców danego podmiotu.

W związku z tym, Komisja Europejska została obowiązana do tego, aby do 17 października 2024 r. szczegółowo określić wymogi techniczne i metodykę, a w razie potrzeby również wymogi sektorowe dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie, ale jedynie dla wybranych podmiotów, mających szczególne znaczenie dla społeczeństwa i gospodarki. Co do reszty podmiotów kluczowych i ważnych, Komisja Europejska może, ale nie musi określić podobne wymogi. Niemniej jednak wymogi określone przez KE będą dobrą podpowiedzią co do tego jak mają się przygotować do NIS2 pozostałe podmioty ważne i kluczowe.

Zatwierdzenie na najwyższym poziomie

Środki zarządzania ryzykiem w cyberbezpieczeństwie opisane w par. 2 art. 21 Dyrektywy, będą musiały być zatwierdzone przez organy zarządzające podmiotów kluczowych i ważnych. Organy te są również obowiązane do nadzorowania wdrażania środków zarządzania ryzykiem oraz będą mogły być pociągnięte do odpowiedzialności za naruszanie przez podmioty kluczowe i ważne tych środków.

Ponadto, na państwa członkowskie został nałożony obowiązek implementacji Dyrektywy w taki sposób, aby zobowiązać członków organu zarządzającego podmiotów kluczowych i ważnych do odbywania regularnych szkoleń w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot, a także aby zachęcać podmioty kluczowe i ważne do oferowania podobnych szkoleń ich pracownikom.

Zgodnie z par. 4 artykułu 21 Dyrektywy państwa członkowskie mają obowiązek zapewnić, aby podmiot, który stwierdzi, że nie spełnia kluczowych elementów środków zarządzania ryzykiem określonych w ust. 2 artykułu 21 Dyrektywy, bez zbędnej zwłoki wprowadził wszelkie istotne, odpowiednie i proporcjonalne środki naprawcze.

NIS2 nie precyzuje jednak ani co kryje się za pojęciem jakim są „środki naprawcze”, ani za pojęciem „organów zarządzających”. Na chwilę obecną nie wiadomo zatem co wchodzi w zakres ich desygnatów. W aspekcie tego kto będzie odpowiedzialny za odpowiednie dostosowanie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz w jaki sposób będzie zobowiązany do wdrażania środków naprawczych w celu ich właściwego ukształtowania, decyzję będą musiały podjąć państwa członkowskie w procesie implementacji Dyrektywy, a na ten w Polsce wiąż czekamy – został jednak już wpisany do wykazu prac legislacyjnych Kancelarii Prezesa Rady Ministrów.

AUTOR WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Przeczytałam/przeczytałem i akceptuję Politykę Prywatności i Informacja o danych osobowych.*

NAJNOWSZE BLOGI

Aktualności

Publikacje

2024 / 04 / 12
Paweł Grzembka

Jak się przygotować do dyrektywy europejskiej o jawności płac

Rzeczpospolita
2024 / 04 / 10

European Employment Insights | Kwiecień 2024

Andersen in Europe
2024 / 03 / 18
Szymon Chyra Elżbieta Kawala

Uruchomienie instalacji fotowoltaicznej w przedsiębiorstwie, a obowiązki akcyzowe i koncesyjne.

Rzeczpospolita

Newslettery

2024 / 04 / 26

KSeF wchodzi w życie w 2026 r.

więcej
2024 / 04 / 18

Ustawa o ochronie sygnalistów w Sejmie

więcej
2024 / 04 / 10

European Employment Insights | Kwiecień 2024

więcej

Wydarzenia

2024 / 04 / 30

WEBINARIUM | 16.05.2024 r. | 12:00 – Benchmarking transakcji finansowych: Metodologie i najlepsze praktyki w zarządzaniu ryzykiem z perspektywy cen transferowych

więcej
2024 / 04 / 25

Andersen w Polsce doprowadza do uchylenia decyzji cofającej bez odszkodowania pozwolenie na wytwarzanie odpadów uwzględniające przetwarzanie odpadów

więcej
2024 / 04 / 16

WEBINARIUM | 26.04.2024 r. | 10:00 – Benefity pracownicze w VAT/PIT/CIT

więcej

Blogi

2024 / 04 / 24
Kamil Kozioł

Dyrektywa NIS2 – środki zarządzania ryzykiem

więcej
2024 / 03 / 20
Adriana Wydziałkiewicz Mateusz Hehnel

Planowane zmiany w ustawie o cudzoziemcach. Czy postępowania w sprawach o pobyt będą szybsze?

więcej
2024 / 02 / 28
Kamil Kozioł

Dyrektywa NIS2 – kogo będzie obejmować?

więcej