Coraz większa ilość danych oraz procedur koniecznych do funkcjonowania przedsiębiorstw zależna jest od prawidłowego funkcjonowania systemów teleinformatycznych. Ich chwilowe niefunkcjonowanie może doprowadzić do paraliżu wielu gałęzi gospodarki, ze względu na co należy objąć je większą ochroną. Dlatego dnia 14 grudnia 2022 r. Parlament Europejski przyjął Dyrektywę 2022/2555, potocznie nazywaną Dyrektywą NIS2. Stanowi ona kontynuację aktualnie obowiązującej Dyrektywy NIS.
Dyrektywa weszła w życie w połowie stycznia 2023 r., a jej transpozycja do porządku krajowego miała nastąpić przed 18 październikiem bieżącego roku. W Polsce ma mieć to miejsce poprzez Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Przyjęcie projektu datowane jest na pierwszy kwartał 2025 r.
Czego dotyczy Dyrektywa NIS2?
Zmiany wprowadzane przez Dyrektywę NIS2 obejmują reagowanie na pojawiające się nowe cyberzagrożenia; ataki ransomware (blokada systemów i oczekiwanie na uiszczenia okupu, np. atak za pomocą oprogramowania Petya w 2017 r.), podszywanie się, wyciek lub kradzież danych wrażliwych. Zmiany wprowadzane przez Unię Europejską mają również zapobiec paraliżowi systemów informatycznych w instytucjach najważniejszych dla funkcjonowania kraju. Dokument jest szczególnie istotny w związku z zwiększającą się ilością ataków cybernetycznych na polskie przedsiębiorstwa. Ich najczęstszym celem stają się firmy logistyczne i transportowe.
Kogo dotyczy Dyrektywa NIS2?
Dyrektywa wprowadza podział na podmioty kluczowe oraz ważne (istotne). Od przynależności do kategorii zależy poziom ochrony oczekiwany jest od danej jednostki. Różne są również przewidziane kary finansowe. Zamysłem we wprowadzeniu tego podziału było określenie podmiotów ważnych dla funkcjonowania kraju, ale z wyszczególnieniem tych, których niedyspozycyjność mogłaby zagrozić funkcjonowaniu gospodarki oraz infrastruktury. Jednostki lecznice i szpitale znalazły się na tej liście z uwagi na bycie dyspozytorami danych szczególnie wrażliwych jak np. historia leczenia.
Do sektorów kluczowych zaliczamy:
- Energetykę
- Transport
- Bankowość
- Infrastrukturę rynków finansowych
- Opiekę zdrowotną
- Wodę pitną
- Ścieki
- Infrastrukturę cyfrową
- Zarządzanie usługami ICT (wdrażanie systemów, bezpieczeństwo informatyczne)
- Podmioty administracji publicznej
- Przestrzeń kosmiczną
Do sektorów ważnych zaliczamy:
- Usługi pocztowe i kurierskie
- Gospodarkę odpadami
- Produkcję, wytwarzanie i dystrybucję chemikaliów oraz żywności
- Produkcję (zaliczono do niej m.in. wyroby medyczne, komputery, urządzenia elektryczne i samochody)
- Dostawców usług cyfrowych (internetowych platform handlowych, wyszukiwarek, sieci społecznościowych)
- Badania naukowe
Wymienione są jeszcze dwa kryteria, które spełniać musi przedsiębiorstwo, by odnosiły się do niego przepisy Dyrektywy NIS2:
- Przedsiębiorstwo musi zatrudniać co najmniej 50 pracowników
- Roczne obroty lub suma bilansowa przedsiębiorstwa powinna wynosić 10-50 mln EUR
W konkretnych przypadkach NIS2 obowiązuje również przedsiębiorców i usługodawców niezależnie od wielkości. Zalicza się do nich:
- Dostawców publicznych sieci lub usług łączności elektronicznej
- Dostawców usług zaufania
- Rejestry i dostawców systemów nazw domen
- Podmioty administracji rządowej i regionalnej według prawa państw członkowskich
Jak dokonać samoidentyfikacji?
Firmy muszą przeprowadzić tak zwaną samoidentyfikację, to znaczy określić, czy spełniają kryteria stawiane przez Dyrektywę i do jakiej kategorii obowiązków się zaliczają. Muszą spełnić wskazane wyżej wymogi bycia średnim lub dużym przedsiębiorcą i działania w jednym z wskazanych sektorów. Krajowe rejestry będą dostępne jednak najpóźniej do 17 stycznia 2025 r. – dla przedsiębiorców świadczących usługi cyfrowe i od 17 kwietnia 2025 r. dla pozostałych.
Czas na wpis do rejestru wynosi 2 miesiące od spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Brak rejestracji grozi grzywną.
Aby uniknąć nakładania zbędnych obowiązków, w niektórych przypadkach Minister Cyfryzacji sam dokona rejestracji podmiotów z grup, które w całości znajdą się w wykazie, np. przedsiębiorców telekomunikacyjnych, podmiotów krytycznych, dostawców usług zaufania czy podmiotów publicznych. Dane wykorzystane w tym celu będą zaczerpnięte z rejestrów publicznych.
Jakie zmiany będzie trzeba wprowadzić?
Podmioty objęte postanowieniami dyrektywy będą musiały skupić się na zapobieganiu oraz przeciwdziałaniu atakom cybernetycznym na wielu płaszczyznach. Do wskazanych obowiązków będą należeć między innymi:
- obowiązkowa edukacja najwyższego kierownictwa organizacji (dyrektywa wprowadza bowiem odpowiedzialność kierownictwa przedsiębiorstwa za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie),
- obowiązek zatwierdzania środków zarządzania ryzykiem
- wprowadzenie analizy ryzyka oraz polityki bezpieczeństwa informacji
- zarządzanie incydentami
- polityki i procedury dotyczące korzystania z kryptografii, szyfrowania,
- dbanie o ciągłość działania (np. poprzez tworzenie kopii zapasowych odzyskiwanie danych po awarii)
- wprowadzenie planu zarządzania kryzysowego,
- zapewnienie bezpieczeństwa łańcucha dostaw
- przeprowadzanie audytów (system będzie mniej rygorystyczny względem podmiotów ważnych)
Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za pisemną albo elektroniczną zgodą podmiotu krajowego systemu cyberbezpieczeństwa. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS2 przepisy dotyczące tzw. security scans. Nie może ona jednak zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie. Tryb i ramowe warunki przeprowadzania oceny muszą zostać ustalone z podmiotem w drodze porozumienia.
Co grozi za nieprzestrzeganie Dyrektywy?
Firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane. W przypadku podmiotów kluczowych będą to kary w wysokości do 10 mln EUR lub 2% łącznego światowego obrotu w poprzednim roku.
Podmioty istotne (ważne) mogą liczyć się z karą do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku. W obu przypadkach zastosowanie
