Dyrektywa NIS2 – co trzeba o niej wiedzieć?
Dyrektywa 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”) weszła w życie 16 stycznia 2023 r., ale do 17 października 2024 r. kraje członkowskie mają czas na jej implementację do prawa krajowego. Ma ona ogromne znaczenie, gdyż według różnych szacunków może wpłynąć na działanie co najmniej kilka tysięcy podmiotów w różnych sektorach gospodarki.
Dyrektywa NIS – od tego się zaczęło
NIS2 to nie pierwsze unijne podejście do tematu cyberbezpieczeństwa. W 2016 roku przyjęto dyrektywę NIS, która była pierwszym europejskim aktem prawnym w zakresie cyberbezpieczeństwa. Głównym celem dyrektywy NIS było poprawienie funkcjonowania rynku wewnętrznego dzięki osiągnięciu wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych poprzez ujednolicenie podejścia do ochrony systemów w zakresie cybernetycznym przez wszystkie państwa członkowskie Unii Europejskiej. Pierwsza NIS zobowiązywała państwa członkowskie do nałożenia zarówno na tzw. operatorów usług kluczowych, jak i dostawców usług cyfrowych określonych obowiązków, takich jak m.in. ustanowienie odpowiednich ram zarządzania w zakresie bezpieczeństwa sieci i systemów informatycznych, zgłaszanie poważnych incydentów bezpieczeństwa komputerowego do odpowiednich krajowych organów nadzorczych czy wdrażanie strategii zarządzania ryzykiem w cyberbezpieczeństwie.
Dyrektywa NIS została wdrożona w Polsce ustawą z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która regulowała m.in. utworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC) mającego na celu ogólne wsparcie bezpieczeństwa systemów teleinformatycznych, zespoły CSIRT na poziomie krajowym, czyli Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego czy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.
Cyberbezpieczeństwo: podejście drugie
Wobec niewystarczającej odporności unijnego rynku wewnętrznego i poszczególnych państw członkowskich na cyberzagrożenia, dostrzeżono konieczność stworzenia nowego, rozszerzonego podejścia do kwestii cyberbezpieczeństwa na terenie całej Unii Europejskiej, efektem czego powstała Dyrektywa NIS2.
Nowa Dyrektywa ma na celu minimalizowanie ryzyka wystąpienia kryzysów uniemożliwiających prawidłowe funkcjonowanie rynku wewnętrznego lub stanowiące poważne zagrożenie dla bezpieczeństwa publicznego i ryzyko dla bezpieczeństwa podmiotów lub obywateli w kilku państwach członkowskich poprzez zapewnienie ogólnego bezpieczeństwa i ochrony infrastruktury sieciowej, a także tworzenie proaktywnych ram gotowości w przypadku wystąpienia cyberzagrożeń. Co warte podkreślenia, priorytetem NIS2 jest możliwie efektywne wprowadzenie mechanizmów działania istotnych z punktu widzenia bezpieczeństwa podmiotów, o czym świadczą m.in. podwyższenie kar finansowych za niestosowanie środków zarządzania ryzykiem w cyberbezpieczeństwie i naruszenie obowiązków w zakresie zgłoszeń incydentów oraz pozostawienie państwom dużej swobody w implementacji dyrektywy w sposób bardziej rygorystyczny niż z niej wynika.
Co się zmieni?
Jedną z najważniejszych zmian w stosunku do dyrektywy NIS z 2016 roku, jest rozszerzenie zakresu jej stosowania na większą liczbę sektorów i podmiotów objętych regulacjami, a także zrównanie obowiązków nakładanych na dwie główne grupy tych podmiotów, czyli podmioty kluczowe i ważne. NIS2 kładzie też zdecydowanie większy nacisk na ogólne wymagania związane z bezpieczeństwem, w tym zapewnienie bezpieczeństwa łańcucha dostaw, cyberhigienę i szkolenia dla kadry, wdrożenie polityk bezpieczeństwa bazujących na podejściu uwzględniającym wszelkie możliwe ryzyka oraz utrzymanie ciągłości działania podmiotów uznanych za kluczowe oraz ważne.
Działania podejmowane w ramach ochrony podmiotu przed cyberzagrożeniami nie mogą ograniczać się do przyjęcia samej dokumentacji – muszą być poparte konkretnymi czynnościami w zakresie analizowania, wykrywania i reagowania na ryzyko. NIS2 przewiduje także nowe zasady raportowania incydentów poważnych, dla których obowiązywać będzie okres 24h na wysłanie tzw. wstępnego ostrzeżenia oraz 72h na samo zgłoszenie incydentu. Ponadto konieczne będzie przekazanie sprawozdania końcowego nie później niż miesiąc po zgłoszeniu incydentu albo w ciągu miesiąca po zakończeniu jego obsługi.
Co więcej, na gruncie NIS z 2016 roku to państwa członkowskie miały obowiązek zidentyfikować operatorów usług kluczowych, natomiast obecnie każdy podmiot powinien sam przeprowadzić ewaluację i stwierdzić, czy musi wypełniać obowiązki nałożone odpowiednio na podmioty kluczowe lub ważne. Kary administracyjne mogą być nakładane za niestosowanie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz za naruszenie obowiązków w zakresie zgłaszania incydentów i mogą wynieść 10 milionów EUR lub 2% łącznego rocznego światowego obrotu dla podmiotów kluczowych, a w przypadku podmiotów ważnych 7 milionów EUR lub 1,4% obrotu.
Implementacja NIS2 w Polsce
Termin wdrożenia dyrektywy NIS2 przypada na 17 października 2024 roku. Nie wiadomo, czy Polska zdąży z przygotowaniem odpowiedniej ustawy (prace rozpoczęły się za poprzedniej kadencji parlamentu i nawet pojawił się projekt ustawy), jednak można spodziewać się, że taka próba zostanie podjęta. Oznacza to, że firmom podlegającym przepisom dyrektywy pozostało jedynie kilka miesięcy, aby przygotować własną politykę organizacyjną w zakresie spełnienia obowiązków wynikających z dyrektywy takich jak określenie środków zarządzania ryzykiem w cyberbezpieczeństwie czy procedur wykrywania i zgłaszania incydentów. Najbliższe miesiące stanowią zatem szansę na świadomy rozwój organizacji, wzmocnienie jej cyberbezpieczeństwa, a także budowę bezpiecznych relacji z klientami i dostawcami.
W kolejnym artykule wyjaśnimy, kogo obejmą nowe przepisy, czyli podział przedsiębiorców na podmioty ważne i kluczowe oraz kryteria identyfikacji takich podmiotów. Zapraszamy do odwiedzenia naszej strony internetowej już za dwa tygodnie!
Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.
AUTOR WPISU
E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891
Nawet nie chce mi się o tym myśleć. To jeden wielki pic. Może i proceduralnie do ogarnięcia ale nie realizacyjnie. Patrzę na to z perspektywy dużego podmiotu obsługującego dużą jednostkę miejską.