Cyberbezpieczeństwo – dyrektywa NIS2

16 grudnia 2020 roku opublikowano projekt nowej dyrektywy NIS 2, która dwa lata później, czyli 27 grudnia 2022, doczekała się publikacji i na początku 2023 roku z dniem 16 stycznia weszła w życie zastępując dyrektywę NIS, która zobowiązywała państwa członkowskie do wprowadzenia odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych, która w Polsce miała swój wyraz w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Polska jako kraj należący do UE, ma czas na implementację dyrektywy do 17 października 2024 roku. Nowe przepisy dotyczące cyberbezpieczeństwa obejmą znaczące rozszerzenie kręgu adresatów oraz wprowadzają dodatkowe obowiązki.

Adresaci

Zaczynając od adresatów dyrektywa ma zastosowanie do podmiotów publicznych jak i prywatnych, różnych sektorów usług jak usługi energetyczne, transportowe, finansowe zdrowotne, łączności, handlowe czy usług publicznych, które podzielono na dwie główne grupy: podmioty kluczowe i ważne. Obecnie doszło do zrównania obowiązków nakładanych na e dwie główne grupy – poprzednio obowiązki operatorów usług kluczowych oraz dostawców usług cyfrowych były inne.

W załączniku I jako sektory kluczowe wskazano:

• energetykę,
• transport,
• bankowość,
• infrastrukturę rynków finansowych,
• opiekę zdrowotną,
• sektor wody pitnej,
• ścieki,
• infrastrukturę cyfrową,
• zarządzanie usługami ICT,
• administrację publiczną,
• przestrzeń kosmiczną.

Natomiast w załączniku II jako sektory ważne (istotne) wskazano:

• usługi pocztowe i kurierskie,
• gospodarowanie odpadami,
• produkcja, wytwarzanie i dystrybucja chemikaliów,
• produkcja, przetwarzanie i dystrybucja żywności,
• produkcja:
  • wyrobów medycznych,
  • komputerów, wyrobów elektronicznych i optycznych,
  • urządzeń elektrycznych,
  • maszyn i urządzeń, gdzie indziej niesklasyfikowana,
  • pojazdów samochodowych, przyczep i naczep,
  • pozostałego sprzętu transportowego,
• dostawcy usług cyfrowych:
  • internetowych platform handlowych,
  • wyszukiwarek internetowych,
  • platform usług sieci społecznościowych,
• badania naukowe.

Nowa dyrektywa obowiązuje tylko podmioty zakwalifikowane jako średnie lub duże przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE tj.:

• średnie przedsiębiorstwa – zatrudniające 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro albo rocznej sumie bilansowej do 43 milionów euro,
• duże przedsiębiorstwa – zatrudniające 250 lub więcej pracowników, o rocznych przychodach w wysokości co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej.

Dyrektywa NIS 2 natomiast nie ma zastosowania do mikroprzedsiębiorców i małych przedsiębiorców z pewnym wyłączeniem obejmującym całe sektory gospodarki, uznane za istotne dla funkcjonowania państwa niezależnie od skali swej działalności, są to podmioty takie jak: dostawcy usług łączności elektronicznej lub zaufania, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną oraz administracja publiczna niezależnie od skali swej działalności.

Dyrektywy NIS 2 nie stosujemy również w przypadku:

• podmiotów administracji publicznej prowadzących działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa (w tym prewencji przestępstw, prowadzenia postępowań, wykrywania przestępstw i ich ścigania);
• określonych podmiotów, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania, lub które świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, o których mowa w pkt. wyżej, które zostaną zwolnione przez państwa członkowskie z obowiązków ustanowionych dyrektywą.

Obowiązki

W nowej dyrektywie określono obowiązki zarówno dla podmiotów kluczowych, jak i istotnych obejmują zapewnienie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych jak:

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństw oraz ich utrzymanie i monitorowanie,
• mechanizmów i procesów analizy ryzyka,
• przygotowania i wdrożenia polityki bezpieczeństwa systemów informatycznych,
• zarządzania incydentami (zapobieganie, wykrywanie i reagowanie na incydenty),
• zgłaszania wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON) bez zbędnej zwłoki (maksymalnie 24 lub 72 godzin w zależności od rodzaju zgłoszenia),
• obsługi incydentów obejmującej zapobieganie, wykrywanie i reagowanie na incydenty,
• ciągłości działania i zarządzania kryzysowego,
• bezpieczeństwa łańcucha dostaw,
• bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych, w tym ujawniania i obsługi podatności),
• przeprowadzania regularnych audytów służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
• wykorzystywania kryptografii i szyfrowania,
• powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo,
• stosowania własnych lub nabytych produktów, usług i procesów ICT, które są certyfikowane przez podmioty kwalifikowane i zaufane.

Należy przy tym podkreślić, iż wprowadzone przez dany podmiot  środki zarządzania ryzykiem w cyberbezpieczeństwie mają:

• być proporcjonalne,
• uwzględniać stopień narażenia podmiotu na ryzyko,
• uwzględniać wielkość podmiotu,
• uwzględniać prawdopodobieństwo wystąpienia oraz dotkliwości możłiwych incydentów (w tym skutki społeczne i gospodarcze).

Egzekwowanie przepisów oraz kary

W ramach egzekwowania przepisów dyrektywy właściwym organom względem podmiotów zobowiązanym takie środki jak m.in.:

• wystosowanie ostrzeżenia dotyczącego naruszeń;
• nakaz zobowiązujący dane podmioty do naprawienia stwierdzonych uchybień lub usunięcia naruszeń niniejszej dyrektywy;
• nakaz zaniechania postępowania naruszającego dyrektywę i niepowtarzania takiego postępowania;
• nakaz zapewnienia w określony sposób i w określonym terminie zgodności środków zarządzania ryzykiem w cyberbezpieczeństwa.

W przypadku braku podjęcia działań w określonym terminie i zapewnienia zgodności organ taki może tymczasowo zawiesić certyfikat lub zezwolenie na niektóre lub wszystkie odpowiednie usługi świadczone przez podmiot bądź na część lub całość działalności prowadzonej przez podmiot lub zwrócić się do właściwych instytucji lub sądów o nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie kluczowym na osobę fizyczną wykonującą obowiązki zarządcze.

Dyrektywa przewiduje również wysokie kary finansowe dla podmiotów z sektorów kluczowych naruszających swoje obowiązki wynikające z dyrektywy w maksymalnej wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa – zastosowanie ma wyższa kwota to oznacza, że państwa będą dysponują dużą swobodą przy ustalaniu „widełek” kar, ale zawsze będzie musiała istnieć możliwość nałożenia sankcji w wysokości co najmniej 10 mln euro.

Natomiast dla podmiotów z sektorów istotnych maksymalna wysokość kary będzie musiała wynosić co najmniej 7 mln euro lub 1,4% łącznego rocznego światowego obrotu – tutaj również zastosowanie ma kwota wyższa.

Dyrektywa NIS 2 umożliwia również okresowe kary pieniężne w celu przymuszenia podmiotu do zaprzestania naruszania przepisów dyrektywy oraz zobowiązuje państwa członkowskie do wprowadzenia sankcji karnych z tytułu naruszenia dyrektywy lub implementujących ją przepisów.

Podsumowanie

Dyrektywa NIS 2 stanowi nowszą i bardziej doprecyzowana wersję swojej poprzedniczki w szczególności poszerzając krąg podmiotów zobowiązanych do jej przestrzegania jak również stawia szereg obowiązków i wymagań wobec nich, za których nieprzestrzeganie lub niespełnienie będą grozić surowe konsekwencję finansowe jak i karne.

Warto zauważyć, że dyrektywa określa swoiste minimum które państwa członkowskie muszą wprowadzić do krajowych przepisów implementujących obowiązki z niej wynikających. W związku, z czym krajowa implementacja dyrektywy może wprowadzić inne nowe obowiązki dotyczące podmiotów krajowego systemu cyberbezpieczeństwa.