Miesiąc: czerwiec 2023

Dyrektywa NIS2, obowiązująca od początku 2023 roku, wprowadza aktualizację oraz harmonizację unijnych przepisów dotyczących cyberbezpieczeństwa, które pierwotnie zostały ustanowione w 2016 roku jako dyrektywa NIS. W Polsce znane są one jako Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Jakie konkretne zmiany przynosi NIS2?

Parlament Europejski wprowadził zaktualizowane przepisy w odpowiedzi na rosnącą cyfryzację życia i biznesu oraz narastające zagrożenia cybernetyczne. Nowa dyrektywa ma na celu wzmocnienie bezpieczeństwa cyfrowego poprzez zwiększenie odporności i zdolności reagowania na incydenty zarówno w sektorze publicznym, jak i prywatnym. Dotyczy to zarówno właściwych organów państwowych, jak i całej Unii Europejskiej, z naciskiem na zapewnienie większego bezpieczeństwa dla użytkowników usług cyfrowych – wszystkich obywateli UE.

Od stycznia 2023 roku obowiązuje dyrektywa NIS2, która wprowadza bardziej precyzyjne przepisy dotyczące cyberbezpieczeństwa. Nowe przepisy mają na celu wzmocnienie wymogów związanych z zarządzaniem ryzykiem przez przedsiębiorstwa oraz usprawnienie reagowania, zarządzania i obowiązków raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, oficjalnie zatytułowana „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”, obowiązuje od 16 stycznia 2023 roku.

NIS2 wprowadza kilka istotnych zmian, które obejmują:

1. Modyfikacje w katalogu podmiotów: Dyrektywa NIS2 wprowadza zasadnicze zmiany w zakresie podmiotów podlegających jej wymogom. Koncentruje się na podmiotach kluczowych i ważnych, eliminując inne kategorie podmiotów.
2. Zrównanie obowiązków: NIS2 harmonizuje wymogi dotyczące cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Oznacza to, że obie te kategorie podmiotów będą miały takie same obowiązki w zakresie ochrony cybernetycznej.
3. Nowe możliwości egzekwowania przepisów: Dyrektywa NIS2 nadaje właściwym organom krajowym nowe środki kontrolne i nadzorcze. Na przykład, organy te będą miały możliwość przeprowadzania doraźnych kontroli wobec podmiotów kluczowych. Będą również uprawnione do nakładania administracyjnych kar pieniężnych na podmioty kluczowe i ważne w przypadku naruszenia przepisów.
4. Odpowiedzialność indywidualna: NIS2 wprowadza zasadę odpowiedzialności indywidualnej. Osoby fizyczne, które są odpowiedzialne za podmioty kluczowe lub ważne, lub działają w charakterze przedstawicieli prawnych tych podmiotów, mogą ponieść odpowiedzialność za niewywiązanie się z obowiązku zapewnienia przestrzegania dyrektywy. Oznacza to, że osoby te mogą być pociągnięte do odpowiedzialności za nieprzestrzeganie wymogów dotyczących cyberbezpieczeństwa.

Warto pamiętać, że powyższe informacje są ogólne i mogą nie uwzględniać wszystkich szczegółów i aspektów wprowadzonych zmian. Dokładne zrozumienie przepisów NIS2 wymaga zapoznania się z tekstem dyrektywy oraz interpretacją prawną w danym kraju.

Podmioty objęte dyrektywą NIS2

Nowa dyrektywa NIS2 obowiązuje podmioty kluczowe i ważne, zastępując dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dyrektywa określa obowiązki dla tych podmiotów, które zostaną wdrożone na poziomie krajowym nie później niż na przełomie września i października 2024 roku.

Podmioty objęte dyrektywą NIS2 to podmioty z państw członkowskich Unii Europejskiej, które spełniają kryteria średniego przedsiębiorstwa zgodnie z prawem UE. Sektory kluczowe, które są objęte dyrektywą, zostały wymienione w załączniku I, natomiast sektory ważne zostały wymienione w załączniku II do dyrektywy.

Ważne jest zauważyć, że konkretne kategorie podmiotów objętych dyrektywą NIS2 mogą różnić się w zależności od państwa członkowskiego, ponieważ dyrektywa wymaga implementacji na poziomie krajowym. Warto zapoznać się z przepisami i wytycznymi własnego kraju, aby dokładnie określić, jakie podmioty są objęte nowymi wymogami dyrektywy NIS2.

Załącznik I – podmioty kluczowe:

• Energetyka
• Transport
• Bankowość
• Infrastruktura rynków finansowych
• Opieka zdrowotna
• Woda pitna
• Ścieki\Infrastruktura cyfrowa
• Zarządzanie usługami ICT
• Podmioty administracji publicznej
• Przestrzeń kosmiczna

Załącznik II – podmioty ważne:

• Usługi pocztowe i kurierskie
• Gospodarowanie odpadami
• Produkcja, wytwarzanie i dystrybucja chemikaliów
• Produkcja, przetwarzanie i dystrybucja żywności
• Produkcja:
  • wyrobów medycznych
  • komputerów, wyrobów elektronicznych i optycznych
  • urządzeń elektrycznych
• Dostawcy usług cyfrowych:
  • internetowych platform handlowych
  •  wyszukiwarek internetowych
  • platform usług sieci społecznościowych
• Badania naukowe

Zgodnie z dyrektywą NIS2, państwa członkowskie mają 27 miesięcy od dnia wejścia dyrektywy w życie na ustanowienie wykazu podmiotów kluczowych i ważnych. Te podmioty będą odpowiedzialne za podejmowanie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami związanymi z sieciami i systemami, które są wykorzystywane do świadczenia usług. W Polsce szacuje się, że lista ta obejmie kilka tysięcy firm.

Proces ustanowienia wykazu podmiotów kluczowych i ważnych będzie należał do obowiązków państw członkowskich, które będą odpowiedzialne za identyfikację tych podmiotów na swoim terytorium. Państwa członkowskie będą musiały określić kryteria i procedury identyfikacji, aby uwzględnić specyfikę swojego własnego rynku i sektorów. Ostateczne wykazy będą musiały zostać zgłoszone do Komisji Europejskiej.

Warto zauważyć, że dokładne liczby i szczegóły dotyczące podmiotów kluczowych i ważnych w Polsce oraz w innych państwach członkowskich będą zależały od narodowych przepisów i procedur wdrożenia dyrektywy NIS2.

Dyrektywa NIS2 wskazuje kilka istotnych obowiązków, które muszą zostać zaimplementowane w krajowych porządkach prawnych dotyczących podmiotów kluczowych oraz ważnych. Oto najważniejsze z tych obowiązków:

Najważniejsze obowiązki wskazane przez dyrektywę NIS 2 dla podmiotów kluczowych oraz ważnych, które są konieczne do implementacji w krajowych porządkach prawnych, to:

1. Dynamiczna analiza ryzyka i środki zarządzania ryzykiem: Podmioty kluczowe i ważne muszą przeprowadzać dynamiczną analizę ryzyka, uwzględniającą zmiany techniczne, legislacyjne oraz rodzaje i typy cyberzagrożeń. Powinny również korzystać z informacji z systemów Cyber Threat Intelligence (CTI) oraz informacji z działu compliance lub prawnego w celu oceny ryzyka.
2. Polityki bezpieczeństwa systemów teleinformatycznych: Podmioty powinny zbudować i wdrożyć polityki bezpieczeństwa systemów teleinformatycznych, które są zgodne z normą ISO 27001 i wchodzą w skład Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
3. Zarządzanie incydentami: Podmioty kluczowe i ważne powinny posiadać proces zarządzania incydentami, zaimplementowany w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO 27001.
4. Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu: Podmioty objęte dyrektywą mają obowiązek wdrożenia standardowych procedur operacyjnych dotyczących raportowania incydentów do odpowiednich zespołów CSIRT i organów nadzorczych. Raportowanie obejmuje zarówno fakty wystąpienia incydentu, jak i potencjalne zagrożenia mogące do niego prowadzić.
5. Bezpieczeństwo łańcucha dostaw: Podmioty powinny ustalić polityki i procedury bezpieczeństwa, które regulują relacje pomiędzy nimi a ich dostawcami lub usługodawcami, w celu zapewnienia bezpiecznego i ciągłego świadczenia usług.
6. Plan ciągłości działania i zarządzania kryzysowego, w tym kopie zapasowe: Podmioty kluczowe i ważne powinny opracować plany ciągłości działania (BCP), które obejmują przywracanie produkcji, procesów biznesowych i usług w przypadku incydentów cyberbezpieczeństwa. W ramach planu należy uwzględnić również kopie zapasowe danych.
7. Polityki i procedury dotyczące nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń: Podmioty powinny ustalić polityki i procedury dotyczące nabywania, rozwoju i utrzymania sieci i systemów informatycznych. W ramach tych

Warto zauważyć, że konkretne obowiązki i ich szczegółowe wymagania będą zależeć od implementacji dyrektywy NIS2 na poziomie krajowym. Państwa członkowskie będą odpowiedzialne za dostosowanie tych wymogów do swoich własnych porządków prawnych.