Andersen Global

Blog

Dyrektywa NIS2 – zgłaszanie incydentów

2024 / 05 / 24

W poprzednich wpisach (dostępnych na naszym blogu) przekazywaliśmy Państwu informacje o tym kogo będzie obejmować Dyrektywa 2022/2555 z 14 grudnia 2022 roku w sprawie stosowania środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”), a także jakie środki zarządzania ryzykiem przewiduje oraz o celach i treści samej Dyrektywy. Dziś skupimy się na obowiązkach związanych ze zgłaszaniem incydentów, które niestety mogą pojawiać się w związku ze znacznym wzrostem cyber-zagrożeń w ostatnich latach.

Wprowadzenie

Zgłaszanie incydentów z zakresu cyberbezpieczeństwa stało się jednym z najważniejszych obowiązków nałożonych na podmioty kluczowe i ważne w Dyrektywie. Powodem dużego nacisku na zgłaszanie incydentów jest próba zapewnienia szybkiej reakcji na działania, które mogą zagrażać bezpieczeństwu obywateli UE – przepisy Dyrektywy przewidują transgraniczną wymianę informacji, która może umożliwić skoordynowanie wysiłków obronnych.

Incydenty z zakresu cyberbezpieczeństwa będą zgłaszane do CSIRT (Computer Security Incident Response), czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego, powoływanych przez państwa członkowskie. Informacje zgłaszane w zakresie poważnego incydentu powinny umożliwiać CSIRT ustalenie transgranicznego wpływu incydentu. Takich punktów kontaktowych może być w danym kraju utworzonych kilka i przewiduje się, że również Polska powoła co najmniej 2 lub 3 takie zespoły.

Co to jest ten „incydent”?

Zgodnie z art. 6 pkt 6 Dyrektywy incydent oznacza „zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem”. Tym samym poprzez incydent będziemy rozumieli każde zdarzenie, które naruszy jakikolwiek z 4 wskazanych atrybutów (dostępność, autentyczność, integralność, poufność) w odniesieniu do jakichkolwiek danych (nie tylko osobowych!) lub usług. Incydentem będzie zatem zarówno zakłócenie świadczenia usługi (np. poprzez atak DDoS), jak i uzyskanie przez hakera dostępu do danych nieosobowych, np. nieopublikowanych danych technicznych czy finansowych.

Należy jednak mieć na uwadze, że do punktów kontaktowych CSIRT nie zgłaszamy wszystkich incydentów, a jedynie tzw. „poważne incydenty”, mające istotny wpływ na świadczenie usług przez podmioty ważne lub kluczowe. W myśl Dyrektywy incydenty uznaje się za poważne, jeśli:

  • spowodowały lub mogą spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu (np. zablokowanie rurociągu przesyłowego);
  • wpłynęły lub są w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe (np. wycieki danych finansowych osób fizycznych lub uniemożliwienie dostaw tlenu dla szpitala).

Dokładniejsze wyjaśnienie tego co będzie rozumiane jako incydent poważny znajdzie się w aktach wykonawczych, które Komisja Europejska powinna przyjąć nie później niż do 17 października 2024 roku.

Jak będzie wyglądać zgłaszanie incydentów?

Dyrektywa przewiduje, że zgłaszanie poważnych incydentów będzie miało charakter wieloetapowy, gdyż już na starcie wprowadzono konieczność przekazania CSIRT w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie, wstępnego ostrzeżenia, w którym wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny. Warto zauważyć, że na tym etapie podmiot zgłaszający może poprosić CSIRT o wytyczne lub porady mające ograniczyć ryzyko związane z incydentem, a CSIRT powinien w ciągu kolejnych 24 godzin udzielić odpowiedzi i wsparcia.

Następnie bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie, należy już dokonać ostatecznego zgłoszenia incydentu, z aktualizacją informacji podanych we wstępnym zgłoszeniu oraz ze wskazaniem oceny incydentu, w tym jego dotkliwości i skutków, a także wskaźników integralności systemu.

Trzecim etapem zgłaszania incydentów jest sprawozdanie końcowe z incydentu, które powinno zostać przekazane do CSIRT w ciągu miesiąca od zgłoszenia incydentu. Jeśli jednak obsługa incydentu nie została w tym czasie zakończona to sprawozdanie takie powinno być przesłane do CSIRT w ciągu miesiąca od zakończenia obsługi incydentu. Sprawozdanie końcowe powinno zawierać następujące elementy:

  • szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
  • rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;
  • zastosowane i wdrażane środki ograniczające ryzyko;
  • w stosownych przypadkach transgraniczne skutki incydentu.

Ponadto, CSIRT (lub inny właściwy organ wskazany w przepisach krajowych) może zobowiązać podmiot ważny lub kluczowy do złożenia w każdym czasie sprawozdania okresowego.

Wnioski

Nacisk położony w Dyrektywie na zgłaszanie incydentów i przekazywanie istotnych informacji ich dotyczących oznacza, że poczynienie wyjaśnień co do poszczególnych incydentów musi być potraktowane w każdej organizacji z najwyższą starannością, a poszczególne etapy działań muszą być dokumentowane. W naszej ocenie podmioty ważne i kluczowe będą musiały poważnie rozważyć utworzenie w swoich strukturach tzw. SOC (Security Operations Center) oraz włożenie szczególnej energii w zdobycie odpowiednich kompetencji i wiedzy, które pozwolą na należytą obsługę incydentów. Niewątpliwie, w najbliższych latach znacznie wzrośnie także wartość specjalistów ds. cyberbezpieczeństwa na rynku pracy.

W kolejnym wpisie podejmiemy temat sankcji przewidzianych w NIS2, a także odpowiedzialności zarządów i kierowników jednostek, która została przewidziana w projekcie ustawy implementującym Dyrektywę do polskiego porządku prawnego.

Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.

AUTOR WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Przeczytałam/przeczytałem i akceptuję Politykę Prywatności i Informacja o danych osobowych.*

NAJNOWSZE BLOGI

Aktualności

Publikacje

2024 / 07 / 11
Maciej Pietrzycki

Potrzeby pracodawcy zmienią plany urlopowe

Rzeczpospolita
2024 / 07 / 10

Broszura Wsparcie VAT

ALERT PODATKOWY
2024 / 06 / 26

European Guide to support employers: Remote work in Europe

Andersen in Europe

Newslettery

2024 / 07 / 08

Rekompensaty dla przedsiębiorstw energochłonnych 2024

więcej
2024 / 06 / 24

Warunki techniczne budynków – nowe przepisy i zmiany wchodzące w życie od 1 sierpnia 2024 r.

więcej
2024 / 06 / 21

Zakłady energochłonne – możliwy wyższy zwrot podatku akcyzowego od wykorzystanej energii elektrycznej

więcej

Wydarzenia

2024 / 07 / 10

WEBINARIUM | 24 lipca 2024 r. | 11:00 – Ochrona sygnalistów nowe regulacje, nowe wyzwania dla Pracodawców

więcej
2024 / 06 / 25

Drużyna Andersen wystartuje 8 września 2024 r. w biegu Poland Business Run!

więcej
2024 / 06 / 21

WEBINARIUM | 25 czerwca 2024 r. | 10:00 Ochrona sygnalistów – nowe obowiązki dla pracodawców

więcej

Blogi

2024 / 07 / 05
Kamil Kozioł

Dyrektywa NIS2 – odpowiedzialność zarządu

więcej
2024 / 05 / 24
Kamil Kozioł

Dyrektywa NIS2 – zgłaszanie incydentów

więcej
2024 / 05 / 21
Dawid Mielcarski Klaudia Raczek

Zaostrzenie sankcji karnych za naruszenie prawa środowiska

więcej