Dyrektywa NIS2 – środki zarządzania ryzykiem
W poprzednim wpisie (można go przeczytać tutaj) omawialiśmy kogo obejmie Dyrektywa 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”), a dziś przedstawimy informacje o tym jakie środki zarządzania cyberbezpieczeństwem będą konieczne do wdrożenia.
Proporcjonalność i adekwatność
NIS2 wprowadza obowiązek przyjęcia przez podmioty kluczowe oraz podmioty ważne odpowiednich i proporcjonalnych środków zarządzania ryzykiem w cyberbezpieczeństwie w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty. Zasady stosowania środków zarządzania ryzykiem są dokładnie takie same zarówno dla podmiotów kluczowych jak i ważnych i wymagają, aby przed wprowadzeniem tych środków dokonać analizy ryzyka obejmującej co najmniej poniższe elementy:
- stopień narażenia danego podmiotu na ryzyko;
- wielkość tego podmiotu;
- prawdopodobieństwo wystąpienia incydentu;
- dotkliwość incydentów, w tym skutki społeczne i gospodarcze incydentów.
Dobór proporcjonalnych środków musi opierać się także o najnowszy stan wiedzy, koszt wdrożenia oraz odpowiednie normy europejskie i międzynarodowe.
Podmioty objęte Dyrektywą będą miały zatem obowiązek ocenić ryzyko w swoje organizacji, a następnie zastosować środki adekwatne i wprost proporcjonalne do tego zidentyfikowanego ryzyka wystąpienia incydentu cyberbezpieczeństwa. Każdy z tych elementów wymagać będzie udokumentowania i uzasadnienia na wypadek wystąpienia incydentu lub kontroli ze strony odpowiednich organów.
Jakie polityki i procedury będą obowiązkowe?
Pomimo tego, że Dyrektywa nie precyzuje wprost, jakie środki bezpieczeństwa mają być wystarczające dla zapewnienia odpowiedniej ochrony, to wskazuje kluczowe elementy takich środków, które podmioty muszą wdrożyć. Zgodnie z par. 2 artykułu 21 Dyrektywy, są to:
- polityka analizy ryzyka i bezpieczeństwa systemów informatycznych;
- obsługa incydentu;
- ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
- podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
- polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
- bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Należy zauważyć, że wskazane w treści Dyrektywy elementy środków zarządzania ryzykiem są na tyle ogólne, że trudno jednoznacznie określić na czym poszczególne środki mają polegać. W niektórych przypadkach jest jednak i łatwiej – przykładowo dla zapewnienia bezpieczeństwa łańcucha dostaw, który wpływa na działalność oraz bezpieczeństwo innych, podmioty stosujące NIS2 powinny uwzględnić m.in. podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców danego podmiotu.
W związku z tym, Komisja Europejska została obowiązana do tego, aby do 17 października 2024 r. szczegółowo określić wymogi techniczne i metodykę, a w razie potrzeby również wymogi sektorowe dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie, ale jedynie dla wybranych podmiotów, mających szczególne znaczenie dla społeczeństwa i gospodarki. Co do reszty podmiotów kluczowych i ważnych, Komisja Europejska może, ale nie musi określić podobne wymogi. Niemniej jednak wymogi określone przez KE będą dobrą podpowiedzią co do tego jak mają się przygotować do NIS2 pozostałe podmioty ważne i kluczowe.
Zatwierdzenie na najwyższym poziomie
Środki zarządzania ryzykiem w cyberbezpieczeństwie opisane w par. 2 art. 21 Dyrektywy, będą musiały być zatwierdzone przez organy zarządzające podmiotów kluczowych i ważnych. Organy te są również obowiązane do nadzorowania wdrażania środków zarządzania ryzykiem oraz będą mogły być pociągnięte do odpowiedzialności za naruszanie przez podmioty kluczowe i ważne tych środków.
Ponadto, na państwa członkowskie został nałożony obowiązek implementacji Dyrektywy w taki sposób, aby zobowiązać członków organu zarządzającego podmiotów kluczowych i ważnych do odbywania regularnych szkoleń w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot, a także aby zachęcać podmioty kluczowe i ważne do oferowania podobnych szkoleń ich pracownikom.
Zgodnie z par. 4 artykułu 21 Dyrektywy państwa członkowskie mają obowiązek zapewnić, aby podmiot, który stwierdzi, że nie spełnia kluczowych elementów środków zarządzania ryzykiem określonych w ust. 2 artykułu 21 Dyrektywy, bez zbędnej zwłoki wprowadził wszelkie istotne, odpowiednie i proporcjonalne środki naprawcze.
NIS2 nie precyzuje jednak ani co kryje się za pojęciem jakim są „środki naprawcze”, ani za pojęciem „organów zarządzających”. Na chwilę obecną nie wiadomo zatem co wchodzi w zakres ich desygnatów. W aspekcie tego kto będzie odpowiedzialny za odpowiednie dostosowanie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz w jaki sposób będzie zobowiązany do wdrażania środków naprawczych w celu ich właściwego ukształtowania, decyzję będą musiały podjąć państwa członkowskie w procesie implementacji Dyrektywy, a na ten w Polsce wiąż czekamy – został jednak już wpisany do wykazu prac legislacyjnych Kancelarii Prezesa Rady Ministrów.
Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.
AUTOR WPISU
E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891