NIS2 – rewolucja w obszarze cyberbezpieczeństwa. Co z niej wynika dla Twojej firmy?

Kraje UE, w tym Polska, mają czas na implementację dyrektywy do października 2024 roku. Nowe przepisy dotyczące cyberbezpieczeństwa obejmą szerszy niż do tej pory krąg adresatów oraz wprowadzą dodatkowe obowiązki.

Co i kiedy?

Dyrektywa NIS2¹ została przyjęta przez Parlament Europejski 10 listopada 2022 r. Dyrektywa uchyla dotychczas obowiązującą dyrektywę NIS i wprowadza dwie zmiany o zasadniczym znaczeniu dla przedsiębiorców, tj.:

• nakłada obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie na nowe podmioty, w tym m.in. na dostawców usług chmurowych;
• wprowadza możliwość nakładania kar na podmioty, które nie wywiązują się z nałożonych obowiązków. Wysokość kar będzie zależała od rodzaju podmiotu – w przypadku tzw. podmiotów kluczowych będą to kary w wysokości do 10 mln EUR lub 2% łącznego światowego obrotu w poprzednim roku, natomiast dla tzw. podmiotów ważnych do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku, przy czym w obu przypadkach, zastosowanie ma kwota wyższa.

Ponadto, Dyrektywa NIS2 wprowadza nowe obowiązki z zakresu zarządzania cyberbezpieczeństwem, polegające na obligatoryjnym stosowaniu konkretnych rozwiązań z zakresu zarządzania ryzykiem, w tym m.in.:

• polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
• polityki zarządzania incydentami,
• planów ciągłości działania
• zapewnienia bezpieczeństwa łańcucha dostaw.

Za wprowadzenie tych mechanizmów zarządczych i nadzorczych odpowiadają bezpośrednio organy zarządcze.

Od daty wejścia w życie Dyrektywy, czyli 16 stycznia 2023 r., Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. W Polsce oznacza to konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, co powinno nastąpić najpóźniej do 17 października 2024 roku. Nowe przepisy powinny być stosowane we wszystkich krajach UE od 18 października 2024 r.

Cele dyrektywy NIS2

Głównym celem NIS2 jest dalsza poprawa bezpieczeństwa cyfrowego w Unii Europejskiej oraz zdolności do reagowania na incydenty zarówno podmiotów publicznych, jak i sektora prywatnego. Ponadto, ma ona na celu ujednolicenie na poziomie całej Unii tego, kogo będą dotyczyć obowiązki w zakresie cyberbezpieczeństwa.

Sześć lat obowiązywania dyrektywy NIS pokazało, że niedoszacowana została liczba istotnych pod względem cyberbezpieczeństwa sektorów gospodarki, oraz że nie wszystkie przedsiębiorstwa wywiązują się z nałożonych przez dyrektywę NIS obowiązków. W efekcie w dyrektywie NIS2 znacznie rozszerzony został zakres podmiotów objętych przepisami, a ponadto pojawiły się kary, w tym kary nakładane na zarządy firm.

Szacuje się, że w Polsce kilka tysięcy firm zostanie objętych nowymi obowiązkami.

Adresaci nowych przepisów

Dyrektywa NIS2 zamiast podziału na operatorów usług kluczowych i dostawców usług cyfrowych wprowadza podział na podmioty kluczowe i podmioty ważne.

Pokrywa się on częściowo z dotychczasowym podziałem, jednak zostały w nim ujęte także całkowicie nowe podmioty, pozostające dotychczas poza zakresem regulacji.

W poniższej tabeli zostały wymienione sektory, objęte obowiązkami wynikającymi z nowej dyrektywy.

Dyrektywa NIS2 i przepisy krajowe, które będą ją implementować, będą miały zastosowanie tylko do podmiotów kwalifikowanych, jako średnie lub duże przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE. To oznacza, że adresatami przepisów będą:

• średnie przedsiębiorstwa zatrudniające 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro albo rocznej sumie bilansowej do 43 milionów euro,
• duże przedsiębiorstwa zatrudniające 250 lub więcej pracowników, o rocznych przychodach w wysokości co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej.

Nowe obowiązki nie będą zatem dotyczyć mikroprzedsiębiorstw ani przedsiębiorstw małych, z jednym ważnym wyjątkiem.

Niektóre podmioty, takie jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną oraz administracja publiczna będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności.

Obecne regulacje w Polsce

Obecnie obowiązujące przepisy krajowe, które implementują dyrektywę NIS, to ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 r. Ustawa objęła przepisami przede wszystkim tzw. operatorów usług kluczowych, którzy zostali poddani bardzo restrykcyjnym obowiązkom w zakresie cyberbezpieczeństwa. Na liście takich operatorów znalazło się kilkaset podmiotów – przede wszystkim firmy z sektora energetycznego, transportowego, bankowości oraz służby zdrowia.

Zgodnie z obowiązującymi przepisami, do najważniejszych obowiązków operatorów usług kluczowych należy między innymi:

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,
• utrzymanie oraz monitorowanie takich środków,
• przygotowanie i wdrożenie dokumentacji dotyczącą cyberbezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej,
• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON),
• przeprowadzanie raz na dwa lata audytów swoich zabezpieczeń,
• powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, które muszą spełniać szereg wymogów, w tym np. dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi.

Oprócz operatorów usług kluczowych, przepisy ustawy o krajowym systemie cyberbezpieczeństwa obejmują także dostawców usług cyfrowych. Jednak ich obowiązki są stosunkowo niewielkie i sprowadzają się do:

• zaimplementowania adekwatnych do ryzyka środków bezpieczeństwa,
• podjęcia środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości jej świadczenia,
• wykrywania, rejestrowania, analizowania i klasyfikowania incydentów,
• zgłaszania incydentów poważnych do właściwego CSIRT.

Nowe przepisy – dla kogo ważne i co dalej

Z doświadczeń praktycznych dotyczących wdrożeń przepisów ustawy o krajowym systemie cyberbezpieczeństwa wynika, że sprostanie wymogom ustawowym i wdrożenie wymaganych zmian (w tym zatrudnienie osób do wewnętrznego zespołu, wdrożenie narzędzi IT), może zająć nawet kilkanaście miesięcy.

Przedsiębiorstwa, które zostaną objęte nowymi przepisami, a do tej pory nie podlegały regulacjom ustawy o krajowym systemie cyberbezpieczeństwa, powinny rozpocząć proces wdrażania nowych regulacji jak najszybciej. Dotyczy to przede wszystkim średnich i dużych przedsiębiorstw wskazanych jako podmioty ważne w NIS2, np. operatorów usług pocztowych, dostawców usług chmurowych, czy przedsiębiorstw spożywczych, a także wszystkich dostawców usług komunikacji elektronicznej.

Jakie działania trzeba podjąć?

• W pierwszym kroku sprawdź, czy nowe przepisy znajdą zastosowanie do Twojej firmy.
• Następnie sprawdź, do jakiego stopnia Twoja firma już spełnia (na wysokim stopniu ogólności) wymagania Dyrektywy NIS2.
• Śledź prace ustawodawcze nad zmianami do ustawy o krajowym systemie cyberbezpieczeństwa, i w momencie ich przyjęcia rozpocznij proces wdrożenia brakujących elementów wewnątrz organizacji w celu zapewnienia zgodności z nowymi przepisami.

¹Jej oficjalna nazwa to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148).