Parlament Europejski wprowadził zaktualizowane przepisy w odpowiedzi na rosnącą cyfryzację życia i biznesu oraz narastające zagrożenia cybernetyczne. Nowa dyrektywa ma na celu wzmocnienie bezpieczeństwa cyfrowego poprzez zwiększenie odporności i zdolności reagowania na incydenty zarówno w sektorze publicznym, jak i prywatnym. Dotyczy to zarówno właściwych organów państwowych, jak i całej Unii Europejskiej, z naciskiem na zapewnienie większego bezpieczeństwa dla użytkowników usług cyfrowych – wszystkich obywateli UE.
Od stycznia 2023 roku obowiązuje dyrektywa NIS2, która wprowadza bardziej precyzyjne przepisy dotyczące cyberbezpieczeństwa. Nowe przepisy mają na celu wzmocnienie wymogów związanych z zarządzaniem ryzykiem przez przedsiębiorstwa oraz usprawnienie reagowania, zarządzania i obowiązków raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, oficjalnie zatytułowana „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”, obowiązuje od 16 stycznia 2023 roku.
NIS2 wprowadza kilka istotnych zmian, które obejmują:
- Modyfikacje w katalogu podmiotów: Dyrektywa NIS2 wprowadza zasadnicze zmiany w zakresie podmiotów podlegających jej wymogom. Koncentruje się na podmiotach kluczowych i ważnych, eliminując inne kategorie podmiotów.
- Zrównanie obowiązków: NIS2 harmonizuje wymogi dotyczące cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Oznacza to, że obie te kategorie podmiotów będą miały takie same obowiązki w zakresie ochrony cybernetycznej.
- Nowe możliwości egzekwowania przepisów: Dyrektywa NIS2 nadaje właściwym organom krajowym nowe środki kontrolne i nadzorcze. Na przykład, organy te będą miały możliwość przeprowadzania doraźnych kontroli wobec podmiotów kluczowych. Będą również uprawnione do nakładania administracyjnych kar pieniężnych na podmioty kluczowe i ważne w przypadku naruszenia przepisów.
- Odpowiedzialność indywidualna: NIS2 wprowadza zasadę odpowiedzialności indywidualnej. Osoby fizyczne, które są odpowiedzialne za podmioty kluczowe lub ważne, lub działają w charakterze przedstawicieli prawnych tych podmiotów, mogą ponieść odpowiedzialność za niewywiązanie się z obowiązku zapewnienia przestrzegania dyrektywy. Oznacza to, że osoby te mogą być pociągnięte do odpowiedzialności za nieprzestrzeganie wymogów dotyczących cyberbezpieczeństwa.
Warto pamiętać, że powyższe informacje są ogólne i mogą nie uwzględniać wszystkich szczegółów i aspektów wprowadzonych zmian. Dokładne zrozumienie przepisów NIS2 wymaga zapoznania się z tekstem dyrektywy oraz interpretacją prawną w danym kraju.
Podmioty objęte dyrektywą NIS2
Nowa dyrektywa NIS2 obowiązuje podmioty kluczowe i ważne, zastępując dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dyrektywa określa obowiązki dla tych podmiotów, które zostaną wdrożone na poziomie krajowym nie później niż na przełomie września i października 2024 roku.
Podmioty objęte dyrektywą NIS2 to podmioty z państw członkowskich Unii Europejskiej, które spełniają kryteria średniego przedsiębiorstwa zgodnie z prawem UE. Sektory kluczowe, które są objęte dyrektywą, zostały wymienione w załączniku I, natomiast sektory ważne zostały wymienione w załączniku II do dyrektywy.
Ważne jest zauważyć, że konkretne kategorie podmiotów objętych dyrektywą NIS2 mogą różnić się w zależności od państwa członkowskiego, ponieważ dyrektywa wymaga implementacji na poziomie krajowym. Warto zapoznać się z przepisami i wytycznymi własnego kraju, aby dokładnie określić, jakie podmioty są objęte nowymi wymogami dyrektywy NIS2.
Załącznik I – podmioty kluczowe:
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Woda pitna
- Ścieki\Infrastruktura cyfrowa
- Zarządzanie usługami ICT
- Podmioty administracji publicznej
- Przestrzeń kosmiczna
Załącznik II – podmioty ważne:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja:
- wyrobów medycznych
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- Dostawcy usług cyfrowych:
- internetowych platform handlowych
- wyszukiwarek internetowych
- platform usług sieci społecznościowych
- Badania naukowe
Proces ustanowienia wykazu podmiotów kluczowych i ważnych będzie należał do obowiązków państw członkowskich, które będą odpowiedzialne za identyfikację tych podmiotów na swoim terytorium. Państwa członkowskie będą musiały określić kryteria i procedury identyfikacji, aby uwzględnić specyfikę swojego własnego rynku i sektorów. Ostateczne wykazy będą musiały zostać zgłoszone do Komisji Europejskiej.
Warto zauważyć, że dokładne liczby i szczegóły dotyczące podmiotów kluczowych i ważnych w Polsce oraz w innych państwach członkowskich będą zależały od narodowych przepisów i procedur wdrożenia dyrektywy NIS2.
Dyrektywa NIS2 wskazuje kilka istotnych obowiązków, które muszą zostać zaimplementowane w krajowych porządkach prawnych dotyczących podmiotów kluczowych oraz ważnych. Oto najważniejsze z tych obowiązków:
Najważniejsze obowiązki wskazane przez dyrektywę NIS 2 dla podmiotów kluczowych oraz ważnych, które są konieczne do implementacji w krajowych porządkach prawnych, to:
- Dynamiczna analiza ryzyka i środki zarządzania ryzykiem: Podmioty kluczowe i ważne muszą przeprowadzać dynamiczną analizę ryzyka, uwzględniającą zmiany techniczne, legislacyjne oraz rodzaje i typy cyberzagrożeń. Powinny również korzystać z informacji z systemów Cyber Threat Intelligence (CTI) oraz informacji z działu compliance lub prawnego w celu oceny ryzyka.
- Polityki bezpieczeństwa systemów teleinformatycznych: Podmioty powinny zbudować i wdrożyć polityki bezpieczeństwa systemów teleinformatycznych, które są zgodne z normą ISO 27001 i wchodzą w skład Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
- Zarządzanie incydentami: Podmioty kluczowe i ważne powinny posiadać proces zarządzania incydentami, zaimplementowany w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO 27001.
- Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu: Podmioty objęte dyrektywą mają obowiązek wdrożenia standardowych procedur operacyjnych dotyczących raportowania incydentów do odpowiednich zespołów CSIRT i organów nadzorczych. Raportowanie obejmuje zarówno fakty wystąpienia incydentu, jak i potencjalne zagrożenia mogące do niego prowadzić.
- Bezpieczeństwo łańcucha dostaw: Podmioty powinny ustalić polityki i procedury bezpieczeństwa, które regulują relacje pomiędzy nimi a ich dostawcami lub usługodawcami, w celu zapewnienia bezpiecznego i ciągłego świadczenia usług.
- Plan ciągłości działania i zarządzania kryzysowego, w tym kopie zapasowe: Podmioty kluczowe i ważne powinny opracować plany ciągłości działania (BCP), które obejmują przywracanie produkcji, procesów biznesowych i usług w przypadku incydentów cyberbezpieczeństwa. W ramach planu należy uwzględnić również kopie zapasowe danych.
- Polityki i procedury dotyczące nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń: Podmioty powinny ustalić polityki i procedury dotyczące nabywania, rozwoju i utrzymania sieci i systemów informatycznych. W ramach tych
Warto zauważyć, że konkretne obowiązki i ich szczegółowe wymagania będą zależeć od implementacji dyrektywy NIS2 na poziomie krajowym. Państwa członkowskie będą odpowiedzialne za dostosowanie tych wymogów do swoich własnych porządków prawnych.
Jeśli po przeczytaniu tego artykułu, masz wątpliwości, czy Twoje przedsiębiorstwo jest objęte dyrektywą NIS2 lub masz inne wątpliwości, skontaktuj się z naszym przedstawicielem. Pomożemy znaleźć odpowiedz na Twoje pytanie i dobierzemy rozwiązania, które pomogą spełniać wymogi dyrektywy.
Formularz kontaktowy
Proszę zostawić swoje dane kontaktowe, nasz doradcę skontaktuje się w ciągu 24h
Adresy biur
Szczecin
ul. Żołnierska 5a
71-210 Szczecin
tel. 91 852 22 78
Toruń
ul. Włocławska 167
87-100 Toruń
tel. 56 681 23 30