Wydaje się, że dla Unii Europejskiej nie ma współcześnie ważniejszego priorytetu niż bezpieczeństwo w sieci. Sieci, która oplata cały świat niczym pajęcza nić, której jedno słabe ogniwo może zagrozić całemu systemowi. Nie da się ukryć, że współcześni hakerzy mają o niebo większe możliwości niż jeszcze kilka lat temu, a ich kompetencje rosną z dnia na dzień.

W tempie wykładniczym zmieniają się na naszych oczach dostępne technologie i związane z nimi zagrożenia. Czy nadążamy za tymi zmianami? Czy kompetencje „białych kapeluszy” rosną równie proporcjonalnie? Z tymi pytaniami zmierzyły się organy Unii Europejskiej, które uznały, że czas na zmiany. Tak narodziła się NIS2, czyli Druga Dyrektywa dotycząca Cyberbezpieczeństwa (Network and Information Security Directive 2).

Dlaczego dyrektywa NIS potrzebowała następcy?

— NIS skupiała się na infrastrukturze informacyjnej oraz zabezpieczeniu sieci i wszelkich systemów informatycznych. Czas pokazał, że to już za mało. Dlatego NIS2, która zastąpiła swoją poprzedniczkę, rozszerza zakres działalności, dodając do niej obszary z zakresu krytycznej infrastruktury sektorów — mówi radczyni prawna Katarzyna Armińska-Waszczyk, właścicielka kancelarii wdrożeniowej z Gdańska armińska radcowie prawni. — Co istotne, nie określa ona żadnych wyraźnych zmian technologicznych. Nakreśla raczej koncepcje oraz praktyki w zakresie poprawy bezpieczeństwa danej organizacji — dodaje ekspertka.

Oba dokumenty mają ze sobą wiele wspólnego. Oba skupiają się na zapewnieniu ogólnego cyberbezpieczeństwa oraz zwiększeniu odporności na zagrożenia płynące z sieci. Oba zobowiązują też państwa członkowskie do ustanowienia swoich wewnętrznych organów, przy jednoczesnym zachowaniu ścisłej współpracy na arenie międzynarodowej.

Kogo dotyczy NIS2? Szerszy katalog podmiotów

Poprzednia dyrektywa NIS skupiała się na zabezpieczeniu systemów informatycznych oraz sieci w obszarach uznanych za kluczowe zarówno dla państw członkowskich jak i całej Unii Europejskiej. Ten akt dotyczył w szczególności operatorów usług kluczowych i dostawców usług cyfrowych. W NIS2 zrezygnowano z tego podziału. Teraz zasady bezpieczeństwa dotyczą dwóch dużych grup podmiotów – wprowadzono podział na podmioty kluczowe i podmioty ważne.

Podmioty kluczowe dodatkowo objęły dostawców z zakresu:

  • Wymiany ruchu internetowego,
  • usług chmurowych,
  • usług ośrodka przetwarzania danych,
  • sieci dostarczania treści,
  • usług zaufania,
  • publicznych sieci łączności elektronicznej,
  • publicznie dostępnych usług łączności elektronicznej,
  • usług zarządzanych oraz zarządzanych w zakresie bezpieczeństwa.

Do podmiotów ważnych zaliczono:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • wytwarzanie/dystrybucja chemikaliów oraz żywności,
  • produkcja wyrobów medycznych,
  • produkcja urządzeń elektrycznych,
  • produkcja innych maszyn i sprzętów, samochodów i pozostałego sprzętu transportowego,
  • dostawców usług cyfrowych,
  • badania naukowe.

Co do zasady NIS2 ma zastosowanie do podmiotów zakwalifikowanych jako średnie lub duże. Według standardów Unii Europejskiej to organizacje zatrudniające ponad 50 pracowników lub/i generujące przychód przekraczający 10 milionów euro rocznie. Dyrektywa NIS2 przewiduje szereg wyjątków, kiedy obowiązuje także podmioty małe.

Bezpieczeństwo według NIS2 – co się zmieniło?

Poprzednia dyrektywa skupiała się na zapewnieniu odpowiednich środków i procedur w zapobieganiu wszelkim cyberniebezpieczeństwom. NIS2 nie stara się wyłącznie zapobiegać niebezpiecznym działaniom. W swoich regulacjach kreuje sposób reagowania na określone incydenty oraz decyduje, jak ograniczyć skutki, gdy niebezpieczeństwo jednak się pojawi. Zmiany te mają nie tylko zapewnić bezpieczeństwo europejskiej sieci, ale także zadbać o sprawną współpracę w momencie pojawienia się cyberzagrożenia. W tym celu ustanowiono europejską sieć łącznikową ds. kryzysów cybernetycznych (EU-CyCLONe), której zadaniem jest wspieranie zarządzania incydentami cyberbezpieczeństwa

wylicza Katarzyna Armińska-Waszczyk

Ryzyko w NIS – ogólne wytyczne dla państw członkowskich

Dyrektywa NIS2 zmieniła też wymagania dotyczące zarządzania ryzykiem. Poprzednia NIS miała w tym względzie bardzo ogólne przepisy, pozwalające państwom członkowskim na dostosowanie poziomu zarządzania ryzykiem do realiów danego kraju – stąd w każdym z nich poziom ten był inny. Nie zawarto żadnych szczególnych wytycznych co do tego, jakie środki powinny być wprowadzone oraz jak często powinny być raportowane incydenty. Wskazano jedynie, że państwa członkowskie powinny zapewnić, by operatorzy usług kluczowych zgłaszali incydenty „niezwłocznie”, a dostawcy usług cyfrowych – „bez zbędnej zwłoki”. NIS pozostawiała swobodę doprecyzowania systemu zgłaszania incydentów państwom członkowskim.

Ryzyko w NIS2 – szczegółowe wymogi zarządzania incydentem

Zupełnie inaczej reguluje te kwestie dyrektywa NIS2, która ma nie tylko zniwelować różnice pomiędzy państwami, ale podnieść cyberbezpieczeństwo w całej UE. System zaproponowany w NIS2 jest wieloetapowy, wymaga od podmiotów dotkniętych incydentem przekazywania określonych informacji na różnych stadiach obsługi incydentu. Podmioty muszą podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego sieci. NIS2 wymaga zgłoszenia każdego naruszenia, niezależnie od tego, czy cyberatak miał wpływ na działalność danego podmiotu czy też nie.

Co więcej NIS2 wymaga, aby podmioty kluczowe i ważne w określonych przypadkach informowały odbiorców swoich usług, którzy mogą być narażeni na poważne cyberzagrożenia, o dostępnych środkach zaradczych, lub o samym zagrożeniu. W niektórych przypadkach konieczne może być też ujawnienie samego poważnego incydentu. Zarówno w dyrektywie NIS jak NIS2 wymaga się od każdego państwa członkowskiego posiadania centralnego punktu kontaktowego ds. zgodności oraz zespołu koordynującego reagowanie na incydenty bezpieczeństwa komputerowego (CSIRT).

Zgłaszanie incydentów według NIS2

Podmioty stają się odpowiedzialne za analizę ryzyka oraz przyporządkowanie odpowiednich zadań do występującego ryzyka. Często firmy decydują się na zatrudnianie specjalistów oraz wdrażanie odpowiednich wewnętrznych systemów i procedur, które pozwalają im ze sprawnością i systematycznością zwalczać problemy związane z cyberbezpieczeństwem.

  • Działania dotyczące weryfikacji ryzyka powinny być przeprowadzone w formie dokumentowej (dla celów dowodowych).
  • Podmioty kluczowe i podmioty ważne mają obowiązek zgłaszania poważnych naruszeń do właściwego organu (najczęściej będzie to CSIRT).
  • Zgłoszenia trzeba dokonać bez zbędnej zwłoki, w ciągu 24 godzin od powzięcia informacji o danym incydencie. Jest to tzw. wstępne zgłoszenie.
  • W ciągu 72 godzin należy przekazać bardziej szczegółowy raport, czyli tzw. powiadomienie uzupełniające. Powinien on zawierać w szczególności ocenę ryzyka, powagę, wpływ oraz wskaźnik naruszenia bezpieczeństwa.
  • Jeżeli incydent miał znamiona przestępstwa, podmiot powinien to zgłosić organom ścigania, które podejmą odpowiednie kroki prawne.
  • W ciągu miesiąca należy złożyć raport końcowy, w którym oprócz wcześniejszych informacji należy wskazać dotkliwość i konsekwencję incydentu oraz zastosowane środki łagodzące.

System ten ma na celu zapewnienie współpracy międzypaństwowej oraz szybsze reagowanie na incydenty – również na przestrzeni międzynarodowej. To kolejny punkt kładący bardzo mocny nacisk na współpracę między państwami członkowskimi.

Monitorowanie i egzekwowanie przepisów

Pierwsza dyrektywa NIS wymagała stworzenia mechanizmów monitoringu oraz ścisłej współpracy członkowskiej i organów nadzoru. NIS2 zwiększyła zakres monitorowania i skupiła się na jeszcze większej współpracy między państwami członkowskimi. Nowa dyrektywa przyznała też szerokie kompetencje organom nadzorczym w postaci:

  • Przeprowadzania niezależnych oraz specjalistycznych audytów bezpieczeństwa,
  • przekazywania zaleceń na podstawie przeprowadzonego audytu,
  • wnioskowania o udostępnianie dostępu do danych czy niezbędnych dokumentów oraz
  • zobligowania do zagwarantowania zgodności wewnętrznych regulacji z dyrektywą NIS2.

Brak takiej deklaracji lub niedostosowanie się do przepisów dyrektywy NIS2 może powodować nawet zawieszenie certyfikacji lub zawieszenie prowadzonej działalności.

Jak ewoluowały przepisy dotyczące kar?

Zmianie uległy również przepisy dotyczące kar w przypadku nieprzestrzegania regulacji. W przypadku NIS – wysokość kar była zależna od decyzji organów państwowych. NIS2 natomiast wprowadziła jednolite i rygorystyczne kary finansowe w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa.

NIS czy NIS2 – która dyrektywa obowiązuje w Polsce?

NIS i NIS2 to dyrektywy unijne, co oznacza, że co zasady nie obowiązują bezpośrednio i wymagają transpozycji do krajowego porządku prawnego. NIS została transponowana ustawą o krajowym systemie cyberbezpieczeństwa – jest to obowiązująca w Polsce ustawa. NIS2 będzie transponowana poprzez zmianę tej ustawy. Zmiana ta jeszcze nie obowiązuje, a jej projekt jest na etapie opiniowania.

Katarzyna Armińska-Waszczyk ostrzega jednak przed czekaniem na zmianę ustawy: — Ponieważ NIS2 wprowadza dużo zmian w stosunku do NIS, a w szczególności rozszerza katalog podmiotów podlegających regulacji, przedsiębiorcy powinni już teraz zacząć przygotowywać się do jej wdrożenia. Może się bowiem okazać, że od momentu wejścia w życie zmian ustawy będzie zbyt mało czasu, aby należycie przygotować się do nowych wymogów — mówi prawniczka.

Podsumowanie

Dyrektywa NIS2 jest krokiem naprzód w kierunku zapewnienia większego stopnia cyberbezpieczeństwa w Unii Europejskiej. Mimo że wdrożenie nowych wymogów może stanowić wyzwanie dla wielu firm, zwłaszcza tych, które wcześniej nie podlegały takim regulacjom, długoterminowe korzyści z poprawy bezpieczeństwa cyfrowego są nieocenione. Firmy, które skutecznie dostosują się do nowych przepisów, zyskają nie tylko lepszą ochronę przed zagrożeniami, ale również większe zaufanie klientów i partnerów biznesowych. Przyszłe kierunki regulacji cyberbezpieczeństwa będą musiały uwzględniać ciągły rozwój technologii oraz rosnące znaczenie współpracy międzynarodowej. Harmonizacja przepisów, inwestycje w edukację i szkolenia oraz promowanie współpracy publiczno-prywatnej będą kluczowymi elementami dalszego wzmacniania cyberbezpieczeństwa w Europie.

Autorki: radczyni prawna Marta Makulec i aplikantka radcowska Alicja Kuźwik z kancelarii armińska radcowie prawni

Radca prawny Katarzyna Armińska-Waszczyk

Radca prawny Katarzyna Armińska-Waszczyk prowadzi w Gdańsku kancelarię wdrożeniową armińska radcowie prawni. Kancelaria współpracuje m.in. ze spółkami z branży technologicznej, finansowej, ubezpieczeniowej. Specjalizuje się w prawie nowych technologii, prawie własności intelektualnej i prawie do prywatności. Tworzy proste i jasne dokumenty prawne w metodzie legal design. Pomaga spółkom w ułożeniu, wdrożeniu i optymalizacji ich procesów prawno-biznesowych oraz procedur bezpieczeństwa. Ma świadomość wyzwań, jakie stoją przed przedsiębiorstwami zobowiązanymi już wkrótce wdrożyć u siebie nowe wymogi NIS2. Dlatego pomaga im w zaplanowaniu tego procesu.