16 stycznia 2023 r. weszła w życie dyrektywa NIS2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Państwa Członkowskie mają 21 miesięcy na wprowadzenie regulacji do prawa krajowego.
Dyrektywa NIS2
Dyrektywa przyjęta przez Parlament Europejski 14 grudnia 2022 r. uchyla dotychczasowo obowiązującą dyrektywę NIS. Wprowadzono zasadnicze zmiany dla utrzymania bezpieczeństwa cybernetycznego w Unii Europejskiej.
Kraje Unii Europejskie mają czas na implementację nowych regulacji do systemu krajowego do października 2024 r. Nowe przepisy z zakresu cyberbezpieczeństwa obejmują szerszy krąg odbiorców i wprowadzają dodatkowe obowiązki.
Głównym celem dyrektywy NIS2 jest wzmocnienie bezpieczeństwa cyfrowego w UE, zwiększona zdolność na reagowanie na incydenty zarówno podmiotów publicznych i sektora prywatnego. Zobowiązuje do ujednolicenia na poziomie Państw Członkowskich tego, kogo będą dotyczyć obowiązki w zakresie cyberbezpieczeństwa. Celem dyrektywy NIS2 jest objęcie szerszym zakresem zobowiązanych podmiotów i usankcjonowanie zaniechań — nakładanie kary na zarządy organizacji.
Dyrektywa NIS2 rozciąga obowiązki w zakresie cyberbezpieczeństwie na nowe podmioty. Rozszerzył się katalog adresatów dyrektywy m.in o dostawców usług chmurowych. Wprowadzono możliwość nakładania kar na podmioty, na które zostały nałożone określone obowiązki, w przypadku ich nieprzestrzegania. Wysokość uregulowanych kar zależy od rodzaju podmiotu. Dyrektywa rozróżnia podmioty kluczowe, dla których przewiduje kary w wysokości do 10 mln EUR lub 25 łącznego światowego obrotu z poprzedniego roku. Podmiotom ważnym grożą kary do 7 mln EU lub 1,4 % łącznego światowego obrotu w poprzednim roku.
Nowe obowiązki z zakresu zarządzania cyberbezpieczeństwem w UE
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii określa środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa UE. Nowe obowiązki obejmują:
- gotowość Państw Członkowskich, wymagając od nich odpowiedniego wyposażenia — zespoły do reagowania na incydenty bezpieczeństwa komputerowego i powołanie właściwego krajowego organu ds. sieci i systemów informatycznych (NIS),
- współpraca między Państwami Członkowskimi, która ułatwi strategiczną współpracę i wymianę informacji,
- kulturę bezpieczeństwa we wszystkich sektorach, które są niezbędne dla gospodarki i społeczeństwa — energia, transport, woda, bankowość, sektor finansowy, opieka zdrowotna, infrastruktura cyfrowa.
Odpowiedzialność za wprowadzenie wymienionych mechanizmów zarządczych i nadzorczych odpowiadają bezpośrednio organy zarządcze organizacji.
Adresaci dyrektywy NIS2
Nowe przepisy nie wprowadzają podziału na operatorów usług kluczowych i dostawców usług cyfrowych, jak dotychczas. Adresatami nowej dyrektywy są podmioty kluczowe i podmioty ważne. Katalog adresatów dyrektywy NIS2 rozszerzył się o podmioty wcześniej nieujęte w poprzedniej regulacji.
Sektor podmiotów kluczowych według dyrektywy tworzą:
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa:
– dostawcy punktu wymiany ruchu internetowego,
– dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw,
– rejestry nazw TLD,
– dostawcy usług chmurowych,
– dostawcy usług ośrodka przetwarzania danych,
– dostawcy sieci dostarczania treści,
– dostawcy usług zaufania,
– dostawcy publicznych sieci łączności elektronicznej,
– dostawcy publicznie dostępnych usług łączności elektronicznej. - Zarządzanie usługami ICT (między przedsiębiorstwami):
– dostawcy usług zarządzanych,
– dostawcy usług zarządzanych w zakresie bezpieczeństwa, - Podmioty administracji publicznej.
- Przestrzeń kosmiczna.
Do sektora podmiotów ważnych należą:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja:
– wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
– komputerów, wyrobów elektronicznych i optycznych,
– urządzeń elektrycznych,
produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana,
– pojazdów samochodowych, przyczep i naczep,
– pozostałego sprzętu transportowego. - Dostawcy usług cyfrowych
– dostawcy internetowych platform handlowych,
– dostawcy wyszukiwarek internetowych,
– dostawcy platform usług sieci społecznościowych. - Badania naukowe.
Przepisy mają zastosowanie po implementacji ich do krajowego systemu prawa. Będą miały wtedy zastosowanie do podmiotów kwalifikowanych jako średnie lub duże przedsiębiorstwa, zgodnie z zaleceniami Komisji, czyli:
- średnie przedsiębiorstwa zatrudniające 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro albo rocznej sumie bilansowej do 43 milionów euro,
- duże przedsiębiorstwa zatrudniające 250 lub więcej pracowników, o rocznych przychodach w wysokości co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej.
Poza regulacją są mikro- i małe przedsiębiorstwa, jednak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną oraz administracja publiczna będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności.
Obecne cyberobowiązki organizacji w Polsce
Obowiązujące przepisy krajowe, wprowadzone na podstawie NIS – poprzedniej dyrektywy, to Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie w 2018 r. Zgodnie z ustawą adresaci zostali podzieleni na dwa sektory – operatorów usług kluczowych i dostawców usług cyfrowych. Do obowiązków pierwszego sektora należy m.in.:
- zaimplementowanie adekwatnych do ryzyk środków bezpieczeństwa,
- zgłaszanie incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team – CSIRT NASK, CSIRT GOV i CSIRT MON,
- audyt zabezpieczeń przeprowadzony co najmniej raz na dwa lata,
powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo.
Krajowy system cyberbezpieczeństwa został powołany, by zapewnić cyberbezpieczeństwo na poziomie krajowym, w szczególności:
- niezakłóconego świadczenia usług kluczowych i usług cyfrowych,
- osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.
Dostosowanie organizacji do wymogów cyberbezpieczeństwa
Sprawdź, czy przestrzegasz już zasad bezpieczeństwa i prywatności na poziomie projektowania podczas wprowadzania nowych procesów. Przygotuj się do uzyskania zgodności z dyrektywą NIS2 w kompleksowy sposób. Upewnij się, że twoja polityka bezpieczeństwa cybernetycznego i procedury zarządzania incydentami są zaktualizowane i obejmują wszystkie odpowiednie wymogi wynikające z zobowiązujących przepisów. Dowiedz się, czy kompleksowo przestrzegasz RODO i opracowałeś wewnętrzną ścieżkę dotyczącą zgłaszania incydentów oraz wdrożyłeś odpowiednie środki techniczne, by zabezpieczyć swoją infrastrukturę IT. Dokonaj przeglądu swoich wymogów i zgłaszania incydentów.
Wdrożenie odpowiednich zabezpieczeń Twojej infrastruktury IT pozwoli utrzymać Ci bezpieczeństwo techniczne. Opracuj ramy zarządzania dostępem i zmniejsz powierzchnie ataku hakerskiego na Twoją organizację. Postaw na szkolenia pracowników i kadry zarządzającej.
Oficjalna nazwa NIS2: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148).
