Parlament Unii Europejskiej przyjął Dyrektywę NIS 2 („Dyrektywa NIS 2”), w związku z którą wiele przedsiębiorstw będzie musiało wdrożyć wytyczne związane z cyberbezpieczeństwem. Obecnie trwają prace nad projektem ustawy mającym za zadanie wdrożenie Dyrektywy NIS 2 do polskiego systemu prawnego. Planowany termin tego wdrożenia to 17 października 2024 roku.

Prawidłowe wdrożenie wymagań wynikających z Dyrektywy NIS 2 pozwoli uniknąć nałożenia dotkliwych kar pieniężnych zarówno na osoby zarządzające, jak i na sam podmiot. Dodatkową korzyścią związaną z Dyrektywą NIS 2 będzie znaczne podniesienie poziomu cyberbezpieczeństwa.

Streszczenie artykułu:

  • Dyrektywa NIS 2 obejmuje sektory szczególne istotne z punktu widzenia procesów gospodaraczych. Uczestnictwo w łańcuchu dostaw tych sektorów może generować obowiązek wdrożenia Dyrektywy NIS 2.
  • Dyrektywa NIS 2 określa rodzaje podmiotów zobowiązanych do jej wdrożenia. W zależności od swojej wielkości i rodzaju prowadzonej działalności będą one miały status podmiotów kluczowych lub podmiotów ważnych. Nawet mikro przedsiębiorcy mogą podlegać obowiązkom wynikającym z Dyrektywy NIS 2. Podmioty kluczowe i podmioty ważne będą zobowiązane zarejestrować się w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji.
  • Podmioty kluczowe i podmioty ważne będą zobowiązane wdrożyć „szyte na miarę” systemy bezpieczeństwa informacji. Są to zespoły rozwiązań mających na celu zapewnienie bezpieczeństwa cyfrowego.
  • Niewdrożenie wymagań może skutkować nałożeniem kar pieniężnych bezpośrednio na osoby zarządzające, jak i na sam podmiot. W pierwszym przypadku wysokość kary może wynieść nawet 600% wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. W drugim przypadku kara pieniężna może wynieść nawet 100 mln złotych.

Sektory objęte Dyrektywą NIS 2

Dyrektywą NIS 2 zostały objęte następujące sektory:

Kto jest podmiotem kluczowym?

Podmiotami kluczowymi będą zasadniczo duże przedsiębiorstwa prowadzące działalność w sektorach objętych Dyrektywą NIS 2.

Duże przedsiębiorstwa to co do zasady takie, które zatrudniają co najmniej 250 pracowników i których roczny obrót wynosi co najmniej 50 milionów euro lub roczna suma bilansowa wynosi co najmniej 43 miliony euro.

Podmiotami kluczowymi są również przedsiębiorcy komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy. Średnim przedsiębiorstwem jest przedsiębiorstwo zatrudniające więcej niż 50 pracowników (a mniej niż 250) i którego roczny obrót lub roczna suma bilansowa przekracza 10 milionów EUR (lecz jest mniejsza niż 43 miliony euro).

Podmiotami kluczowymi mogą być również przedsiębiorstwa przewyższające wymogi średniego przedsiębiorstwa, które uczestniczą w łańcuchach dostaw sektorów takich jak np. produkcja samochodów. Powyższe wymaga każdorazowo analizy treści załączników 1 i 2 do projektowanej ustawy.

Kto jest podmiotem ważnym?

Podmiotami ważnymi są zasadniczo średnie przedsiębiorstwa prowadzące działalność w sektorach objętych Dyrektywą NIS 2.

Średnim przedsiębiorstwem co do zasady jest przedsiębiorstwo, w którym poziom zatrudnienia wynosi od 50 do 249 pracowników i którego roczny obrót lub roczna suma bilansowa nie przekracza 43 milionów euro.

Czy będąc mikro lub małym przedsiębiorcą można podlegać pod Dyrektywę NIS 2?

Dyrektywa NIS 2 zakłada, że podmiotami kluczowymi będą niezależnie od swojej wielkości dostawcy usług DNS, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, kwalifikowani dostawcy usług zaufania, podmioty krytyczne, podmioty publiczne, podmioty zidentyfikowane jako podmioty kluczowy w specjalnym trybie przewidzianym ustawą, podmioty prowadzące rejestr nazw domen najwyższego poziomu (TLD).

Obowiązkowa rejestracja

Podmioty, spełniające kryteria uznania za podmiot kluczowe lub ważne, będą zobowiązane zarejestrować się w wykazie podmiotów kluczowych i ważnych.

Wpisy do wykazu podmiotów kluczowych i ważnych mają trwać aż do dnia 1 kwietnia 2025 r. i następować mają wg harmonogramu ustalonego przez Ministra do spraw informatyzacji. Dokładany harmonogram zostanie ogłoszony w późniejszym terminie.

System bezpieczeństwa informacji

Podmioty kluczowe i podmioty ważne będą zobowiązane wdrożyć systemy zarządzania bezpieczeństwem informacji. Systemy bezpieczeństwa informacji powinny zapewniać możliwość zbierania informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego. W ramach systemu bezpieczeństwa informacji podmioty kluczowe i podmioty ważne będą zobowiązane stosować bezpieczne środki komunikacji elektronicznej uwzględniające uwierzytelnianie wieloskładnikowe, a także prowadzić systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzać tym ryzykiem.

Szczegółowe wytyczne dotyczące systemu zarządzania bezpieczeństwem informacji mogą być ustalane odrębnie dla każdej branży w drodze rozporządzeń.

Wybrane z kluczowych aspektów systemu bezpieczeństwa informacji opisaliśmy poniżej.

Środki techniczne i organizacyjne

W ramach systemu bezpieczeństwa informacji podmioty kluczowe i podmioty ważne będą zobowiązane wdrożyć odpowiednie środki techniczne i organizacyjne. Mają to być rozwiązania „szyte na miarę”, co oznacza, że muszą być one odpowiednie i proporcjonalne. Powinny one uwzględniać najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka.

Środki techniczne i organizacyjne będą obejmowały w szczególności obszary takie jak polityka szacowania ryzyka i bezpieczeństwa systemu informacyjnego, plany działania umożliwiające ciągłe i niezakłócone świadczenie usługi, system monitorowania w trybie ciągłym, politykę i procedury oceny skuteczności środków technicznych i organizacyjnych, edukację z zakresu cyberbezpieczeństwa, działania zapobiegawcze i świadome podejście do ryzyka.

Środki zapobiegające oraz ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego

W ramach systemu bezpieczeństwa informacji podmioty kluczowe i podmioty ważne będą zobowiązane wdrożyć środki zapobiegające oraz ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego.

Przykładowymi środkami tego rodzaju są mechanizmy zapewniające poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, bieżące aktualizowanie oprogramowania, niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń.

Kiedy obowiązki wejdą w życie?

Obecnie projekt ustawy mający wdrożyć Dyrektywę NIS 2 do polskiego systemu prawnego jest na etapie opiniowania przez właściwe jednostki. Po tym etapie projekt ustawy powinien zostać skierowany do Sejmu. Ustawa powinna zostać przyjęta i opublikowana do dnia 17 października 2024 roku. Obecnie projekt ustawy mający wdrożyć Dyrektywę NIS 2 przewiduje, że wymagania będą musiały zostać wdrożone w okresie 6 miesięcy od dnia wejścia w życie ustawy wdrażającej Dyrektywę NIS 2.

Kara pieniężna nałożona na osoby zarządzające

Osoby zarządzające podmiotami kluczowymi lub ważnymi (np. członkowie zarządów spółek kapitałowych) powinni być świadomi swojej personalnej odpowiedzialności za wdrożenie i realizację wymagań związanych z implementacją Dyrektywy NIS 2.

Osoby zarządzające podmiotami kluczowymi lub ważnymi będą w szczególności zobowiązane podejmować decyzje dotyczące przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji, zapewnienia świadomości personelu w zakresie obowiązków związanych z cyberbezpieczeństwem, wprowadzaniem wewnętrznych regulacji (np. regulaminów), zapewniać zgodność działań z przepisami oraz z wewnętrznymi regulacjami (np. regulaminami).

Kara pieniężna na podmiot kluczowy lub podmiot ważny

Naruszenie wymagań wynikających z Dyrektywy NIS 2 będzie mogło skutkować nałożeniem kary pieniężnej na podmiot kluczowy lub podmiotu ważny. W przypadku podmiotów sektora kluczowego może to być kara w wysokości do 100 mln złotych.

Zwracamy uwagę, że projekt ustawy mający wdrożyć Dyrektywę NIS 2 do polskiego systemu prawnego zakłada, że kary pieniężne mogą zostać nałożone równocześnie na osoby zarządzające, jak i na sam podmiot kluczowy lub ważny. Zatem nałożenie kary pieniężnej na osobę zarządzającą nie wyklucza nałożenia kary na sam podmiot.

Niezbędne działania

Pierwszym krokiem jest ustalenie czy dana organizacja ma status podmiotu ważnego lub podmiotu kluczowego. Jest to niezwykle istotny aspekt, zwłaszcza w odniesieniu do poddostawców komponentów i dostarczycieli usług do sektorów wymienionych w załącznikach do projektu ustawy, mającej wdrożyć Dyrektywę NIS 2.

Następnym krokiem związanym z wdrożeniem Dyrektywy NIS 2 będzie zmapowanie odpowiednich obszarów danej organizacji, które będą wymagały przeorganizowania zgodnie z wymaganiami tej regulacji.

Kolejnym krokiem będzie opracowanie odpowiedniej dokumentacji zgodnej z wymaganiami wynikającymi z Dyrektywy NIS 2, wdrażającej procesy związane z utrzymywaniem odpowiednio poziomu cyberbezpieczeństwa.

Kancelaria Sobczyńscy i Partnerzy Adwokaci i Radcowie Prawni sp.k. oferuje kompleksowe wsparcie na wszystkich etapach wdrażania wymogów Dyrektywy NIS-2 w życie – poczynając od samej analizy, czy dany podmiot kwalifikuje się do miana istotnego lub ważnego podmiotu w rozumieniu nowych przepisów, przechodząc z Klientem przez proces rejestracji a kończąc na praktycznym wdrożeniu zarówno nowej dokumentacji, jak i na szkoleniach z jej stosowania.

Zapraszamy do kontaktu: www.sobczynscy.pl

Autorzy:

Łukasz Jankowski — adwokat i partner w Kancelarii Sobczyńscy i Partnerzy, kierujący zespołem kontraktów handlowych. Specjalizuje się w projektach obejmujących optymalizację rozwiązań prawnych w zakresie umów handlowych i ochrony bezpieczeństwa informacji, również w ramach zamówień publicznych. Wraz ze swoim zespołem wspiera negocjacje i realizację kontraktów zawieranych przez polskich i międzynarodowych klientów Kancelarii działających na całym świecie.

Łukasz Bonarski — aplikant radcowski w Kancelarii Sobczyńscy i Partnerzy, członek zespołu kontraktów handlowych. Realizuje projekty związane z ochroną bezpieczeństwa informacji. Obejmują one obsługę w zakresie umów IT i innych związanych z aspektami prawa nowoczesnych technologii. W ramach zespołu doradza polskim i międzynarodowym klientom Kancelarii działającym na całym świecie.

Prawnicy Kancelarii Sobczyńscy i Partnerzy Adwokaci i Radcowie Prawni sp.k.

Wychodząc naprzeciw oczekiwaniom rynku pomagamy firmom działającym w branży nowych technologii oraz e-commerce w rozwoju ich biznesu, dając odpowiednie zaplecze prawne. Weryfikujemy oraz wskazujemy przepisy regulujące funkcjonowanie danej działalności oraz wynikające z tego szanse i ryzyka. Pomagamy także uzyskać niezbędne pozwolenia oraz koncesje. Dodatkowo wskazujemy dostępne sposoby zabezpieczenia własności intelektualnej, pomagamy zastrzec znak towarowy oraz ubiegać się o patenty. Przygotowujemy nowe rozwiązania w dziedzinie prawnej obsługi branży IT: https://sobczynscy.pl/specjalizacja/nowe-technologie/