Dyrektywa NIS2 aktualizuje i harmonizuje unijne przepisy cyberbezpieczeństwa z 2016 r. znane jako NIS a w Polsce jako Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 roku będąca lokalnym wdrożeniem dyrektywy NIS.
Od daty wejścia w życie NIS2 – tj. 16.01.2023 – państwa członkowskie UE mają maksymalnie 21 miesięcy na wprowadzenie postanowień dyrektywy do prawa krajowego. Oznacza to, że zmian zgodnych z założeniami NIS2 w Polsce powinniśmy doczekać się nie później niż 17.10.2024, jednak realistycznym scenariuszem pozostaje przyspieszenie przez rząd ścieżki legislacyjnej ze względu na toczący się konflikt zbrojny na Ukrainie i rosnącą ilość cyberataków.
Jakie zmiany przynosi NIS2?
Parlament Europejski zmodernizował przepisy w odpowiedzi na dynamiczną cyfryzację życia i biznesu oraz rosnący poziom cyberzagrożeń. Celem nowej dyrektywy jest zwiększenie bezpieczeństwa cyfrowego, w tym poprawa odporności i zdolności reagowania na incydenty, podmiotów publicznych i prywatnych, właściwych organów państwowych i całej UE, a przy tym zapewnienie większego bezpieczeństwa odbiorcom świadczonych usług – wszystkim obywatelom UE.
Uchwalone niedawno bardziej precyzyjne przepisy wzmacniają między innymi wymogi związane z zarządzeniem ryzykiem przez przedsiębiorstwa, a także usprawnią reagowanie, zarządzanie i obowiązki raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, czyli właściwy dokument o nazwie „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148” obowiązuje od 16 stycznia 2023 roku.
Do najważniejszych zmian, które wprowadza NIS2 należą:
- Zasadnicze modyfikacje w katalogu podmiotów podlegających dyrektywie, wprowadzenie tylko podmiotów kluczowych i ważnych.
- Zrównanie obowiązków podmiotów kluczowych oraz podmiotów ważnych dotyczące cyberbezpieczeństwa.
- Nowe możliwości egzekwowania przepisów, nadane nowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak:
- Stosowanie kontroli doraźnych wobec podmiotów kluczowych.
- Nakładanie administracyjnych kar pieniężnych na podmioty kluczowe i ważne.
- Odpowiedzialność indywidualna. Osoba fizyczna, odpowiedzialna za podmiot kluczowy lub ważny, lub działająca w charakterze przedstawiciela prawnego tego podmiotu, na podstawie uprawnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli będzie mogła być pociągnięta do odpowiedzialności karnej za niewywiązanie się z obowiązku zapewnienia przestrzegania niniejszej dyrektywy.
Kogo obowiązuje nowa dyrektywa NIS2?
Zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dokument wskazuje obowiązki dla podmiotów kluczowych i podmiotów ważnych. Obowiązki te zostaną określone poprzez implementację NIS2 do porządku krajowego nie później niż na przełomie września i października 2024 roku.
W zakres podmiotów objętych dyrektywą wchodzą podmioty z państw członkowskich Unii Europejskiej spełniające wymogi średniego przedsiębiorstwa w myśl prawa UE:
Podmioty kluczowe:
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
- Zarządzanie usługami ICT
- Podmioty administracji publicznej
- Przestrzeń kosmiczna
Podmioty ważne:
- Usługi pocztowe i kurierskie
- Gospodarowanie odpadami
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja:
- wyrobów medycznych
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- maszyn i urządzeń, gdzie indziej niesklasyfikowana
- pojazdów samochodowych, przyczep i naczep
- pozostałego sprzętu transportowego
- Dostawcy usług cyfrowych:
- internetowych platform handlowych
- wyszukiwarek internetowych
- platform usług sieci społecznościowych
- Badania naukowe
Jakie najważniejsze obowiązki wskazuje dyrektywa NIS2 dla podmiotów kluczowych oraz ważnych jako konieczne do implementacji w krajowych porządkach prawnych:
- Dynamiczna analiza ryzyka i środki zarządzania ryzykiem
- Polityki bezpieczeństwa systemów teleinformatycznych
- Zarządzanie incydentami
- Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu
- Bezpieczeństwo łańcucha dostaw
- Plan ciągłości działania i zarządzania kryzysowego, w tym kopiami zapasowymi
- Polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń
- Kryptografia i szyfrowanie
- Szkolenia z cyberbezpieczeństwa