CO WIEMY O DYREKTYWIE NIS2?

nis2

 

Dyrektywa NIS2 aktualizuje i harmonizuje unijne przepisy cyberbezpieczeństwa z 2016 r. znane jako NIS a w Polsce jako Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 roku będąca lokalnym wdrożeniem dyrektywy NIS.

Od daty wejścia w życie NIS2 – tj. 16.01.2023 – państwa członkowskie UE mają maksymalnie 21 miesięcy na wprowadzenie postanowień dyrektywy do prawa krajowego. Oznacza to, że zmian zgodnych z założeniami NIS2 w Polsce powinniśmy doczekać się nie później niż 17.10.2024, jednak realistycznym scenariuszem pozostaje przyspieszenie przez rząd ścieżki legislacyjnej ze względu na toczący się konflikt zbrojny na Ukrainie i rosnącą ilość cyberataków.

 

Jakie zmiany przynosi NIS2?

Parlament Europejski zmodernizował przepisy w odpowiedzi na dynamiczną cyfryzację życia i biznesu oraz rosnący poziom cyberzagrożeń. Celem nowej dyrektywy jest zwiększenie bezpieczeństwa cyfrowego, w tym poprawa odporności i zdolności reagowania na incydenty, podmiotów publicznych i prywatnych, właściwych organów państwowych i całej UE, a przy tym zapewnienie większego bezpieczeństwa odbiorcom świadczonych usług – wszystkim obywatelom UE.

Uchwalone niedawno bardziej precyzyjne przepisy wzmacniają między innymi wymogi związane z zarządzeniem ryzykiem przez przedsiębiorstwa, a także usprawnią reagowanie, zarządzanie i obowiązki raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, czyli właściwy dokument o nazwie „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148” obowiązuje od 16 stycznia 2023 roku.

 

Do najważniejszych zmian, które wprowadza NIS2 należą:

  • Zasadnicze modyfikacje w katalogu podmiotów podlegających dyrektywie, wprowadzenie tylko podmiotów kluczowych i ważnych.
  • Zrównanie obowiązków podmiotów kluczowych oraz podmiotów ważnych dotyczące cyberbezpieczeństwa.
  • Nowe możliwości egzekwowania przepisów, nadane nowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak:
  • Stosowanie kontroli doraźnych wobec podmiotów kluczowych.
  • Nakładanie administracyjnych kar pieniężnych na podmioty kluczowe i ważne.
  • Odpowiedzialność indywidualna. Osoba fizyczna, odpowiedzialna za podmiot kluczowy lub ważny, lub działająca w charakterze przedstawiciela prawnego tego podmiotu, na podstawie uprawnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli będzie mogła być pociągnięta do odpowiedzialności karnej za niewywiązanie się z obowiązku zapewnienia przestrzegania niniejszej dyrektywy.

 

Kogo obowiązuje nowa dyrektywa NIS2?

Zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dokument wskazuje obowiązki dla podmiotów kluczowych i podmiotów ważnych. Obowiązki te zostaną określone poprzez implementację NIS2 do porządku krajowego nie później niż na przełomie września i października 2024 roku.

W zakres podmiotów objętych dyrektywą wchodzą podmioty z państw członkowskich Unii Europejskiej spełniające wymogi średniego przedsiębiorstwa w myśl prawa UE:

 

Podmioty kluczowe:

  • Energetyka
  • Transport
  • Bankowość
  • Infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Woda pitna
  • Ścieki
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT
  • Podmioty administracji publicznej
  • Przestrzeń kosmiczna

Podmioty ważne:

  • Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja:
    • wyrobów medycznych
    • komputerów, wyrobów elektronicznych i optycznych
    • urządzeń elektrycznych
    • maszyn i urządzeń, gdzie indziej niesklasyfikowana
    • pojazdów samochodowych, przyczep i naczep
    • pozostałego sprzętu transportowego
  • Dostawcy usług cyfrowych:
    • internetowych platform handlowych
    • wyszukiwarek internetowych
    • platform usług sieci społecznościowych
  • Badania naukowe

Jakie najważniejsze obowiązki wskazuje dyrektywa NIS2 dla podmiotów kluczowych oraz ważnych jako konieczne do implementacji w krajowych porządkach prawnych:

  • Dynamiczna analiza ryzyka i środki zarządzania ryzykiem
  • Polityki bezpieczeństwa systemów teleinformatycznych
  • Zarządzanie incydentami
  • Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu
  • Bezpieczeństwo łańcucha dostaw
  • Plan ciągłości działania i zarządzania kryzysowego, w tym kopiami zapasowymi
  • Polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń
  • Kryptografia i szyfrowanie
  • Szkolenia z cyberbezpieczeństwa