Dyrektywa NIS2 – czyli jakie zmiany czekają na nas w zakresie cyberbezpieczeństwa?

28 listopada 2022 r. europejskie państwa członkowskie formalnie przyjęły rewizję dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS2). Dyrektywa wejdzie w życie przed końcem roku, ale będzie miała zastosowanie dopiero po transpozycji dyrektywy do prawa krajowego przez państwa członkowskie UE, które mają na to czas do września 2024 r. 

Problemem, który ujawnił się po uchwaleniu dyrektywy NIS były duże różnice w sposobie i zakresie implementacji przepisów do prawa krajowego państw członkowskich, a także nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty. Nadto, nasilające się cyberataki i cyberprzestępczość na całym świecie spowodowały konieczność zwiększenia cyberbezpieczeństwa co wymaga zaktualizowania dotychczas obowiązującej dyrektywy NIS.  

Głównym celem nowej dyrektywy jest harmonizacja wymogów cyberbezpieczeństwa i wdrożenie środków zwiększających ochronę w państwach Unii. 

Kontekst 

6 lipca 2016 r. została przyjęta Dyrektywa NIS, która jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Dyrektywa nałożyła na państwa członkowskie szereg obowiązków, zobligowała je do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. W Polsce jej zapisy realizuje ustawa z dnia 28 sierpnia 2018 roku o krajowym systemie cyberbezpieczeństwa

Dyrektywa zobowiązała wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego poprzez stworzenie zarówno scentralizowanego systemu na poziomie krajowym, jak i podzielenia kompetencji między różne podmioty. 

Dotychczasowa dyrektywa NIS dotyczyła dwóch grup sektorów: 

(1) tzw. operatorów usług kluczowych (operators of essential services), tj. podmiotów sektora prywatnego lub publicznego, dostarczających kluczowe usługi (essential services), do których zalicza się sektory: 

  • Energetyczny (m.in. energia elektryczna, ropa naftowa, gaz); 
  • Transportowy (lotniczy, kolejowy, morski); 
  • Bankowy (m.in. instytucje kredytowe); 
  • Finansowy (m.in. giełda); 
  • Zdrowia (m.in. podmioty świadczące opiekę zdrowotną, w tym szpitale); 
  • Zaopatrzenia w wodę; 
  • Infrastruktury cyfrowej (m.in. punkty wymiany ruchu internetowego, dostawcy usług systemu nazw domen oraz rejestry nazw domen najwyższego poziomu). 

! Przy czym to państwa członkowskie odpowiadały za wyznaczenie, które podmioty spełniają kryteria kwalifikujące je do grona operatorów usług kluczowych.

(2) dostawców usług cyfrowych (digital services providers) tj. każdej osoby prawnej, która świadczy usługi cyfrowe, przez które należy rozumieć usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 (1), która należy do jednego z rodzajów wymienionych w załączniku III, czyli:

1. Internetowa platforma handlowa, 

2. Wyszukiwarka internetowa,  

3. Usługa przetwarzania w chmurze. 

Co nowego wniesienie dyrektywa NIS2? 

Jeśli chodzi o zakres NIS2, obejmuje on dwa typy podmiotów: podmioty niezbędne (essential entities) i podmioty istotne (important entities). 

Do podmiotów niezbędnych (essential entities) należą podmioty z następujących sektorów: 

  • Transport (lotniczy, kolejowy, wodny, drogowy)  
  • Bankowość  
  • Infrastruktura rynków finansowych  
  • Woda pitna  
  • Zdrowie – rozszerzenie zakresu w stosunku do Dyrektywy NIS 
  • Energetyka  (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór) – rozszerzenie zakresu w stosunku do Dyrektywy NIS  
  • Ścieki – rozszerzenie zakresu w stosunku do Dyrektywy NIS 
  • Infrastruktura cyfrowa – rozszerzenie zakresu w stosunku do Dyrektywy NIS 
  • Administracja publiczna – rozszerzenie zakresu w stosunku do Dyrektywy NIS 
  • Przestrzeń kosmiczna – rozszerzenie zakresu w stosunku do Dyrektywy NIS 

Podmioty istotne (important entities) to podmioty z następujących sektorów: 

  • Usługi pocztowe i kurierskie, 
  • Gospodarowanie odpadami, 
  • Produkcja i dystrybucja chemikaliów, 
  • Produkcja, przetwarzanie i dystrybucja żywności, 
  • Produkcja (wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych; urządzeń elektrycznych; maszyn i wyposażenia; pojazdów samochodowych, przyczep i naczep; innego sprzętu transportowego) 
  • Dostawcy usług cyfrowych. 

Łatwo zauważyć, że dotychczas wyłącznie dostawcy usług cyfrowych byli objęci dyrektywą NIS, a zatem zmiany wynikające z nowej dyrektywy NIS2 obejmą swoim zakresem dużo większe grono przedsiębiorców. A jakich dokładnie przedsiębiorców?  

Jak wynika z art. 2 ust. 1 NIS2 dyrektywa ma zastosowanie do podmiotów publicznych i prywatnych które określono jako podmioty niezbędne oraz jako podmioty istotne. NIS2 nie znajdzie jednak zastosowania do podmiotów kwalifikujących się jako mikroprzedsiębiorstwa i małe przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE1”. Oznacza to, że średnie i duże przedsiębiorstwa działające w sektorach objętych dyrektywą NIS2 będą zobowiązane do jej stosowania. Warto pamiętać, że nierealizowanie zapisów dyrektywy grozi wysokimi karami finansowymi. Kary te mają wynosić maksymalnie co najmniej 10000000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, do którego należy podmiot niezbędny lub istotny, z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 31 ust. 4 NIS2).  

Nowością będzie również ustanowienie Europejskiej Sieci Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE) jako jedno z mechanizmów wspomagających skoordynowane zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa Do jej zadań należeć będzie m.in.: podnoszenie poziomu gotowości w zakresie zarządzania incydentami i kryzysami na dużą skalę czy koordynowanie zarządzania incydentami i kryzysami na dużą skalę oraz wspieranie procesu decyzyjnego na szczeblu politycznym w odniesieniu do takich incydentów i kryzysów. Dodatkowo, NIS2 wzmacnia rolę Grupy Współpracy w procesie wymiany informacji pomiędzy państwami, a także wprowadza koordynację w zakresie ujawniania podatności (volnerability disclosure) na poziomie UE. Nowa dyrektywa wzmacnia także rolę Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która od tej pory będzie odpowiedzialna za przygotowanie „Sprawozdania o stanie cyberbezpieczeństwa w Unii”. 

Jakie obowiązki nakłada NIS2 na podmioty?  

NIS2 przewiduje zdecydowanie większe niż dotychczas wymagania w zakresie zarządzania, obsługi  
i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. 

Jednym z obowiązków wprowadzonych przez NIS2 będzie zgłaszanie incydentów.   

W NIS2 sprecyzowano również zapisy w zakresie raportowania incydentów. Z nowości można także wskazać wprowadzenie odpowiedzialności dla  kierownictwa firmy za „zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie”. 

Zgodnie z treścią art. 18 ust. 2 NIS2 zarówno na podmioty niezbędne, jak i na podmioty istotne, zostaną nałożone nowe obowiązki związane z zapewnieniem m.in.: 

  • analizy ryzyka i polityki bezpieczeństwa systemów informatycznych; 
  • obsługi incydentów (w zakresie zapobiegania, wykrywania i reagowania na incydenty); 
  • ciągłości działania i zarządzania kryzysowego; 
  • bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa; 
  • bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych(w tym obsługa i ujawniania podatności); 
  • procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa; 
  • stosowanie kryptografii i szyfrowania. 

Jak widać nowych obowiązków pojawi się całkiem sporo a rządy krajowe będą musiały wprowadzić przepisy krajowe odzwierciedlające zobowiązania wynikające z NIS2 do września 2024 r.  

Nasz zespół będzie na bieżąco monitorował transpozycję NIS2 do porządku krajowego, aby móc jak najlepiej wspierać polskich przedsiębiorców, zatem zachęcamy do śledzenia naszych wpisów w zakładce „Aktualności”.  


[1] Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).