Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej: „dyrektywa NIS2” lub „NIS2”) weszła w życie na początku 2023 r. Państwa członkowskie UE są zobowiązane do implementacji jej postanowień do krajowego porządku prawnego do 18 października 2024 r. Dyrektywa NIS2 ustanawia szereg wymogów w zakresie środków cyberbezpieczeństwa i raportowania incydentów. Przyniesie ona istotne zmiany w zakresie podejścia do kwestii zapobiegania i reagowania na cyberataki.
Szeroki zakres
Z raportu CSO Council „W oczekiwaniu na NIS2. Stan przygotowań. Badanie CSO Council” wynika, że organizacje, które były już objęte regulacją NIS lub wytycznymi sektorowymi, są bardziej zaawansowane w przygotowaniach do wdrożenia nowych wymogów wynikających z NIS2. Natomiast przedsiębiorstwa, które dotąd nie podlegały regulacjom, w większości czeka jeszcze wiele pracy nad dostosowaniem się do wytycznych. Warto równocześnie nadmienić, że co czwarta firma objęta przepisami dyrektywy nie ma jeszcze świadomości, że nowe przepisy będą jej dotyczyć.
Dyrektywa NIS2 dotknie tzw. podmioty kluczowe i ważne. Kategorie te zastępują pojęcia znane z dyrektywy NIS – operatorów usług kluczowych i dostawców usług cyfrowych.
Dyrektywa NIS2 wskazuje sektory, w których działają podmioty kluczowe i ważne. Otóż ma ona zastosowanie w sektorach: energetyki, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT, podmiotów administracji publicznej oraz przestrzeni kosmicznej (podmioty kluczowe). Ma również zastosowanie do podmiotów ważnych, to jest prowadzących działalność w sektorach: pocztowym, wytwórczym, żywności, zarządzania odpadami, chemikaliów, dostawców usług cyfrowych oraz research.
Co czwarta firma objęta przepisami dyrektywy nie ma jeszcze świadomości, że nowe przepisy będą jej dotyczyć
NIS2 obowiązuje wszystkie podmioty, które prowadzą działalność w wymienionych gałęziach gospodarki i są uznawane za średnie lub duże przedsiębiorstwa, czyli zatrudniają co najmniej 50 pracowników i ich roczny obrót i (lub) roczna suma bilansowa przekracza 10 mln euro. Nowa dyrektywa obejmie także mikroprzedsiębiorstwa i małe przedsiębiorstwa, jeżeli spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów, lub typów usług.
Wdrożenie regulacji
Transpozycja NIS2 jest szansą na uporządkowanie przepisów dotyczących cyberbezpieczeństwa w Polsce. Niemniej wymaga ona szerokich konsultacji społecznych ze wszystkimi podmiotami reprezentującymi 18 sektorów objętych regulacją. Szacuje się, że w przeciwieństwie do kilkuset podmiotów, do których obecnie stosuje się ustawę o krajowym systemie cyberbezpieczeństwa, dyrektywa NIS2 nakłada obowiązki na kilka do kilkunastu tysięcy polskich przedsiębiorstw i podmiotów publicznych.
Dotychczasowe doświadczenia związane z niedoszłą nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wskazują, że implementacja dyrektywy NIS2 do polskiego porządku prawnego będzie procesem długotrwałym. Prace nad nowelizacją UKSC trwały ponad trzy lata i we wrześniu poprzedniego roku projekt został wycofany.
Zgodnie z terminem transpozycji dyrektywa NIS2 powinna zostać wprowadzona do polskiego porządku prawnego do 18 października 2024 r. Po tym terminie polscy przedsiębiorcy oraz podmioty publiczne będą zobowiązane do stosowania nowych środków w zakresie cyberbezpieczeństwa.
Analizując modele zaproponowane w innych państwach członkowskich, wydaje się, że istnieją dwa najbardziej prawdopodobne scenariusze:
– gruntowna nowelizacja UKSC,
– przyjęcie nowej ustawy uchylającej poprzednią.
Z perspektywy biznesu i pewności obrotu prostszym i pewniejszym rozwiązaniem byłoby uchwalenie nowej ustawy i zamknięcie skomplikowanego rozdziału, jaki stanowiły kolejne próby nowelizacji UKSC.
Należy mieć także nadzieję, że transpozycja NIS2 nie będzie odbywała się w pośpiechu i proces legislacyjny zostanie przeprowadzony z szerokim udziałem ekspertów, przedstawicieli biznesu oraz organizacji społecznych.
Wyzwaniem związanym z wdrożeniem NIS2 są środki cyberbezpieczeństwa. To priorytet zarówno dla państw członkowskich UE, które będą musiały wprowadzić efektywny mechanizm egzekwowania wprowadzenia tych środków, jak i dla przedsiębiorstw objętych dyrektywą NIS2.
W NIS2 znajduje się lista 10 środków cyberbezpieczeństwa (art. 21 ustęp 2 lit. a–j). Obejmuje ona m.in. wprowadzenie zasad dotyczących: zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw oraz określonych środków technicznych, takich jak kryptografia czy uwierzytelnianie wieloskładnikowe.
Należy wskazać, że państwa członkowskie w dużej mierze trzymają się katalogu środków przewidzianych w tekście dyrektywy NIS2. Takie wnioski wyciągnąć można z analizy projektów w Chorwacji, Niemczech, Belgii czy Finlandii.
Stawia to zatem przed polskim ustawodawcą pytanie, czy w ramach polskiego procesu implementacji dyrektywy NIS2 należy rozbudować katalog środków cyberbezpieczeństwa, czy też poprzestać na 10 wymogach z dyrektywy NIS2.
W mojej ocenie konieczne jest przede wszystkim zapewnienie proporcjonalnego stosowania wymogów NIS2. Zgodnie z art. 21 ust.2 NIS2 w ramach analizy proporcjonalności należy wziąć pod uwagę:
– stopień narażenia na ryzyko,
– wielkość podmiotu,
– prawdopodobieństwo wystąpienia incydentów,
– skutek wystąpienia incydentu dla społeczeństwa oraz gospodarki.
Tak sformułowana zasada proporcjonalności tworzy pewien „bezpiecznik” dla adresatów NIS2. Pozwala na dokonanie samodzielnej oceny, w jaki sposób wdrożyć określone obowiązki. Może to być istotne przy wdrażaniu wymogów związanych z bezpieczeństwem łańcucha dostaw. Jako przykład można podać sytuację, w której organ wymaga szeroko zakrojonej kontroli poddostawców. W takiej sytuacji należy zbadać, czy nakaz organu nie sięga za daleko, a kluczowym mechanizmem będzie tu właśnie test proporcjonalności. Zasada proporcjonalności powinna pozwolić na ocenę, który poddostawca i w jakim stopniu jest kluczowy z perspektywy bezpieczeństwa łańcucha dostaw.
Zgłaszanie incydentów
Dyrektywa NIS2 wprowadza także istotne zmiany w zakresie raportowania incydentów.
Z procesem raportowania incydentów wiąże się wiele wyzwań. Przede wszystkim podmioty kluczowe i ważne będą musiały dostosować swoją strukturę organizacyjną tak, aby odpowiednio szybko zebrać informacje o incydencie i przesłać je do właściwego organu nadzorczego. Co równie ważne, za proces ten odpowiedzialni będą członkowie zarządu, również ci niezajmujący się bezpieczeństwem informacji i IT. Wymusza to przeprowadzenie odpowiednich szkoleń i wdrożenie mechanizmów, które pozwolą zminimalizować ryzyko odpowiedzialności zarządu za błędy w raportowaniu incydentów.
NIS2 to nie tylko wymogi i kary – dla podmiotów kluczowych mogące wynosić nawet 10 mln euro lub 2 proc. całkowitego rocznego obrotu. Z procesem implementacji dyrektywy wiążą się liczne szanse dla przedsiębiorców. Szczególnie warto zwrócić uwagę, że uporządkowanie kwestii cyberbezpieczeństwa na poziomie UE zwiększy pewność prawa oraz podniesie poziom cyberbezpieczeństwa w państwach członkowskich. Pozytywnie wpłynie to na pozycję rynkową podmiotów inwestujących i dbających o poziom cyberbezpieczeństwa w swojej organizacji.
Czytaj więcej w dodatku DGP Cyberbezpieczeństwo