Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Unijna dyrektywa NIS-2 (ang. Network and Information Systems Directive 2) aktualizuje wymagania związane z cyberbezpieczeństwem względem dyrektywy NIS1. To aktualny temat szczególnie obecnie, kiedy liczba cybernetycznych ataków rośnie z roku na rok. Kto ma obowiązek wdrożyć NIS2 i co dokładnie ulega zmianie?
Czym jest dyrektywa NIS2?
Celem dyrektywy NIS2 jest stworzenie ujednoliconego poziomu bezpieczeństwa na terytorium Unii Europejskiej. Dotyczy ona przede wszystkim sektorów o kluczowym znaczeniu dla państwa, ale może objąć swoim zasięgiem także podmioty rynku prywatnego. Sprawdź, czy Twoja organizacja podlega nowym przepisom!
Kogo dotyczy dyrektywa NIS2?
Zakres podmiotowy dyrektywy NIS 2 został wskazany w art. 2 dyrektywy i obejmuje szeroki katalog podmiotów zarówno publicznych, jak i prywatnych będących średnim lub dużym przedsiębiorcom z niemal 20 sektorów, wskazanych w załącznikach do aktu prawnego. Podmioty objęte zakresem działania dyrektywy dzielą się na ważne i kluczowe. Do sektorów kluczowych zostały zaliczone m.in.:
- Energetyka;
- Transport;
- Bankowość;
- Infrastruktura rynków finansowych;
- Opieka zdrowotna;
- Woda pitna;
- Ścieki;
- Infrastruktura cyfrowa (w tym dostawcy usług chmurowych, dostawcy usług zaufania czy usług DNS).
Z kolei branże uwzględnione jako ważne to m.in. produkcja samochodów, maszyn i urządzeń elektrycznych, wytwarzanie chemikaliów czy dostawcy usług cyfrowych (w tym wyszukiwarek internetowych oraz platform sieci społecznościowej).
Dyrektywa może dotyczyć także przedsiębiorców działających w innych, niewymienionych wprost sektorach, jeżeli zostaną spełnione określone przesłanki, np. zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, których zakłócenie mogłoby mieć wymiar transgraniczny.
Wprawdzie przepisy dyrektywy dopuszczają możliwość zwolnienia wybranych kategorii podmiotów, ale jedynie w określonym, niewielkim zakresie. Należy pamiętać, że każdy przedsiębiorca ma obowiązek samodzielnej weryfikacji, czy jest objęty zakresem dyrektywy. W przypadku odpowiedzi twierdzącej powinien przedłożyć zestaw danych właściwym organom.
Co zmienia dyrektywa NIS2? Elementy polityki cyberbezpieczeństwa
Podmioty zaliczone do sektorów kluczowych i ważnych mają obowiązek wdrożyć strategię zarządzania ryzykiem w cyberbezpieczeństwie. Taka strategia powinna zostać zaakceptowana przez organ nadzoru. Środki techniczne, operacyjne i organizacyjne powinny być odpowiednie i proporcjonalne do rodzaju i zakresu świadczonych usług i powinny zapobiegać wpływowi incydentów na odbiorców usług lub przynajmniej ten wpływ minimalizować. Przedsiębiorcy objęci NIS2 powinni zadbać przede wszystkim o:
- Politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
- Obsługę incydentu;
- Utrzymanie ciągłości działania świadczonej usługi (np. poprzez zarządzanie kopiami zapasowymi, przywrócenie normalnego działania systemów w razie awarii lub zarządzanie kryzysowe);
- Bezpieczeństwo łańcucha dostaw;
- Bezpieczeństwo w procesie nabywania, utrzymania i rozwoju sieci i systemów;
- Stworzenie procedur pozwalających na ocenę skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
- Wdrożenie praktyk w zakresie cyberhigieny, w tym szkoleń w zakresie cyberbezpieczeństwa;
- Politykę i procedury wewnętrzne w zakresie kryptografii i szyfrowania;
- Stworzenie polityki kontroli dostępu do aktywów;
- Stosowanie uwierzytelniania dwuskładnikowego, a sytuacjach nadzwyczajnych w pełni zabezpieczonych połączeń.
Warto pamiętać, że na dyrektywa nakłada obowiązek zgłaszania poważnych incydentów do CSIRT w ograniczonym przedziale czasu:
- Najpóźniej w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie należy przesłać wczesne ostrzeżenie, z którego treści wynika czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub w złych zamiarach lub czy mógł wywrzeć wpływ transgraniczny;
- Najpóźniej w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie należy przesłać właściwe zgłoszenie incydentu wraz ze wskazaniem jego wagi, opcjonalnie z aktualizacją informacji, które zostały przekazane wcześniej.
Państwa członkowskie są zobowiązane do utworzenia przynajmniej jednego CSIRT – zespołu utworzonego w celu reagowania na incydenty bezpieczeństwa komputerowego. Mają one za zadanie przyjmowanie zgłoszeń incydentów oraz wsparcie w zakresie rozwiązywania problemów. Obecnie w Polsce funkcjonują trzy podmioty typu CSIRT – CSIRT GOV, CSIRT MON oraz CSIRT NASK.
Co oznacza dyrektywa NIS2 dla Twojej organizacji?
Wejście w życie NIS2 pociąga za sobą konieczność wdrożenia całego szeregu rozwiązań informatycznych lub dopasowania już istniejącej infrastruktury do nowych wymagań. W praktyce może się okazać, że będzie to wymagało kosztownej przebudowy modelu biznesowego.
Dyrektywa przyznaje właściwym organom szereg uprawnień nadzorczo-kontrolnych, w tym związanych z przeprowadzaniem audytów, żądaniem przekazania informacji oraz wydawaniem nakazów, których celem jest zapewnienie zgodności z unijnymi przepisami. Organy nadzorcze mogą przeprowadzać również skany bezpieczeństwa oraz żądać dowodów realizacji polityki bezpieczeństwa, np. wyników audytów bezpieczeństwa.
Kary za naruszenie założeń dyrektywy NIS2
Niedochowanie zgodności z przepisami NIS2 niesie ze sobą ryzyko dotkliwych sankcji pieniężnych. Wysokość sankcji może sięgnąć nawet 10 milionów euro lub 2% rocznego światowego obrotu w poprzednim roku obrotowym. Zastosowanie znajduje zawsze wyższa sankcja.
Kiedy dyrektywa NIS2 wchodzi w życie?
Termin na implementację zmian związanych z wejściem w życie dyrektywy NIS2 upływa 17 października 2024 r., więc czasu na dokonanie samoidentyfikacji i utworzenie procesów i procedur w firmie nie zostało już wiele. Aby mieć pewność, że wymagania związane z unijnymi regulacjami zostały wdrożone w sposób prawidłowy, warto skorzystać ze wsparcia profesjonalistów.
Zespół Kancelarii Linke Kulicki pomoże ustalić, czy Twoja firma podlega pod NIS2. Zidentyfikujemy obszary, które wymagają usprawnienia. Zaproponujemy również rozwiązania dopasowane do indywidualnych możliwości przedsiębiorcy oraz zadbamy o pełną zgodność z wymaganiami formalnymi.