Dyrektywa NIS2, obowiązująca od początku 2023 roku, wprowadza aktualizację oraz harmonizację unijnych przepisów dotyczących cyberbezpieczeństwa, które pierwotnie zostały ustanowione w 2016 roku jako dyrektywa NIS. W Polsce znane są one jako Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Jakie konkretne zmiany przynosi NIS2?
Parlament Europejski wprowadził zaktualizowane przepisy w odpowiedzi na rosnącą cyfryzację życia i biznesu oraz narastające zagrożenia cybernetyczne. Nowa dyrektywa ma na celu wzmocnienie bezpieczeństwa cyfrowego poprzez zwiększenie odporności i zdolności reagowania na incydenty zarówno w sektorze publicznym, jak i prywatnym. Dotyczy to zarówno właściwych organów państwowych, jak i całej Unii Europejskiej, z naciskiem na zapewnienie większego bezpieczeństwa dla użytkowników usług cyfrowych – wszystkich obywateli UE.
Od stycznia 2023 roku obowiązuje dyrektywa NIS2, która wprowadza bardziej precyzyjne przepisy dotyczące cyberbezpieczeństwa. Nowe przepisy mają na celu wzmocnienie wymogów związanych z zarządzaniem ryzykiem przez przedsiębiorstwa oraz usprawnienie reagowania, zarządzania i obowiązków raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, oficjalnie zatytułowana „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”, obowiązuje od 16 stycznia 2023 roku.
NIS2 wprowadza kilka istotnych zmian, które obejmują:
- Modyfikacje w katalogu podmiotów: Dyrektywa NIS2 wprowadza zasadnicze zmiany w zakresie podmiotów podlegających jej wymogom. Koncentruje się na podmiotach kluczowych i ważnych, eliminując inne kategorie podmiotów.
- Zrównanie obowiązków: NIS2 harmonizuje wymogi dotyczące cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Oznacza to, że obie te kategorie podmiotów będą miały takie same obowiązki w zakresie ochrony cybernetycznej.
- Nowe możliwości egzekwowania przepisów: Dyrektywa NIS2 nadaje właściwym organom krajowym nowe środki kontrolne i nadzorcze. Na przykład, organy te będą miały możliwość przeprowadzania doraźnych kontroli wobec podmiotów kluczowych. Będą również uprawnione do nakładania administracyjnych kar pieniężnych na podmioty kluczowe i ważne w przypadku naruszenia przepisów.
- Odpowiedzialność indywidualna: NIS2 wprowadza zasadę odpowiedzialności indywidualnej. Osoby fizyczne, które są odpowiedzialne za podmioty kluczowe lub ważne, lub działają w charakterze przedstawicieli prawnych tych podmiotów, mogą ponieść odpowiedzialność za niewywiązanie się z obowiązku zapewnienia przestrzegania dyrektywy. Oznacza to, że osoby te mogą być pociągnięte do odpowiedzialności za nieprzestrzeganie wymogów dotyczących cyberbezpieczeństwa.
Warto pamiętać, że powyższe informacje są ogólne i mogą nie uwzględniać wszystkich szczegółów i aspektów wprowadzonych zmian. Dokładne zrozumienie przepisów NIS2 wymaga zapoznania się z tekstem dyrektywy oraz interpretacją prawną w danym kraju.
Podmioty objęte dyrektywą NIS2
Nowa dyrektywa NIS2 obowiązuje podmioty kluczowe i ważne, zastępując dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dyrektywa określa obowiązki dla tych podmiotów, które zostaną wdrożone na poziomie krajowym nie później niż na przełomie września i października 2024 roku.
Podmioty objęte dyrektywą NIS2 to podmioty z państw członkowskich Unii Europejskiej, które spełniają kryteria średniego przedsiębiorstwa zgodnie z prawem UE. Sektory kluczowe, które są objęte dyrektywą, zostały wymienione w załączniku I, natomiast sektory ważne zostały wymienione w załączniku II do dyrektywy.
Ważne jest zauważyć, że konkretne kategorie podmiotów objętych dyrektywą NIS2 mogą różnić się w zależności od państwa członkowskiego, ponieważ dyrektywa wymaga implementacji na poziomie krajowym. Warto zapoznać się z przepisami i wytycznymi własnego kraju, aby dokładnie określić, jakie podmioty są objęte nowymi wymogami dyrektywy NIS2.
Załącznik I – podmioty kluczowe:
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Woda pitna
- Ścieki\Infrastruktura cyfrowa
- Zarządzanie usługami ICT
- Podmioty administracji publicznej
- Przestrzeń kosmiczna
Załącznik II – podmioty ważne:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja:
- wyrobów medycznych
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- Dostawcy usług cyfrowych:
- internetowych platform handlowych
- wyszukiwarek internetowych
- platform usług sieci społecznościowych
- Badania naukowe
Zgodnie z dyrektywą NIS2, państwa członkowskie mają 27 miesięcy od dnia wejścia dyrektywy w życie na ustanowienie wykazu podmiotów kluczowych i ważnych. Te podmioty będą odpowiedzialne za podejmowanie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami związanymi z sieciami i systemami, które są wykorzystywane do świadczenia usług. W Polsce szacuje się, że lista ta obejmie kilka tysięcy firm.
Proces ustanowienia wykazu podmiotów kluczowych i ważnych będzie należał do obowiązków państw członkowskich, które będą odpowiedzialne za identyfikację tych podmiotów na swoim terytorium. Państwa członkowskie będą musiały określić kryteria i procedury identyfikacji, aby uwzględnić specyfikę swojego własnego rynku i sektorów. Ostateczne wykazy będą musiały zostać zgłoszone do Komisji Europejskiej.
Warto zauważyć, że dokładne liczby i szczegóły dotyczące podmiotów kluczowych i ważnych w Polsce oraz w innych państwach członkowskich będą zależały od narodowych przepisów i procedur wdrożenia dyrektywy NIS2.
Dyrektywa NIS2 wskazuje kilka istotnych obowiązków, które muszą zostać zaimplementowane w krajowych porządkach prawnych dotyczących podmiotów kluczowych oraz ważnych. Oto najważniejsze z tych obowiązków:Najważniejsze obowiązki wskazane przez dyrektywę NIS 2 dla podmiotów kluczowych oraz ważnych, które są konieczne do implementacji w krajowych porządkach prawnych, to:
- Dynamiczna analiza ryzyka i środki zarządzania ryzykiem: Podmioty kluczowe i ważne muszą przeprowadzać dynamiczną analizę ryzyka, uwzględniającą zmiany techniczne, legislacyjne oraz rodzaje i typy cyberzagrożeń. Powinny również korzystać z informacji z systemów Cyber Threat Intelligence (CTI) oraz informacji z działu compliance lub prawnego w celu oceny ryzyka.
- Polityki bezpieczeństwa systemów teleinformatycznych: Podmioty powinny zbudować i wdrożyć polityki bezpieczeństwa systemów teleinformatycznych, które są zgodne z normą ISO 27001 i wchodzą w skład Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
- Zarządzanie incydentami: Podmioty kluczowe i ważne powinny posiadać proces zarządzania incydentami, zaimplementowany w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO 27001.
- Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu: Podmioty objęte dyrektywą mają obowiązek wdrożenia standardowych procedur operacyjnych dotyczących raportowania incydentów do odpowiednich zespołów CSIRT i organów nadzorczych. Raportowanie obejmuje zarówno fakty wystąpienia incydentu, jak i potencjalne zagrożenia mogące do niego prowadzić.
- Bezpieczeństwo łańcucha dostaw: Podmioty powinny ustalić polityki i procedury bezpieczeństwa, które regulują relacje pomiędzy nimi a ich dostawcami lub usługodawcami, w celu zapewnienia bezpiecznego i ciągłego świadczenia usług.
- Plan ciągłości działania i zarządzania kryzysowego, w tym kopie zapasowe: Podmioty kluczowe i ważne powinny opracować plany ciągłości działania (BCP), które obejmują przywracanie produkcji, procesów biznesowych i usług w przypadku incydentów cyberbezpieczeństwa. W ramach planu należy uwzględnić również kopie zapasowe danych.
- Polityki i procedury dotyczące nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń: Podmioty powinny ustalić polityki i procedury dotyczące nabywania, rozwoju i utrzymania sieci i systemów informatycznych. W ramach tych
Warto zauważyć, że konkretne obowiązki i ich szczegółowe wymagania będą zależeć od implementacji dyrektywy NIS2 na poziomie krajowym. Państwa członkowskie będą odpowiedzialne za dostosowanie tych wymogów do swoich własnych porządków prawnych.
