top of page
Zdjęcie autoraMichał Nosowski

Dyrektywa NIS 2 - nowe przepisy związane z cyberbezpieczeństwem w firmach

Zaktualizowano: 1 paź


informacja bezpieczeństwa na akumulatorze

Kilka lat temu Parlament Europejski przyjął dyrektywę NIS. Jej celem było zwiększenie poziomu cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. W związku z tym, w Polsce uchwalona została ustawa o Krajowym Systemie Cyberbezpieczeństwa, o której napisałem tutaj.


Ciągły rozwój technologii i transformacja cyfrowa wywołały potrzebę „odświeżenia” dyrektywy NIS. Dlatego też stworzono nową dyrektywę NIS 2.


Co dokładnie się zmieniło i co wynika z nowej dyrektywy?


Podstawowa zasada funkcjonowania dyrektywy jest taka jak dotychczas – istotne dla społeczeństwa przedsiębiorstwa albo podmioty publiczne muszą zapewnić odpowiednio wysoki poziom cyberbezpieczeństwa.


Dzieje się tak z uwagi na to, że świadczą one usługi istotne dla społeczeństwa, a ich zakłócenie (np. z uwagi na atak cybernetyczny) może wywołać negatywne skutki dla ludności.


Dyrektywa NIS 2 rozszerza dotychczasowy zakres podmiotów, które będą musiały stosować nowe wymogi. Dodatkowo, przepisy dyrektywy modyfikują dotychczasowe podejście do kwestii regulowania cyberbezpieczeństwa.


Ten artykuł zawiera ogólne informacje dotyczące dyrektywy NIS2. Jeśli chcesz dowiedzieć się więcej na ten temat, zachęcam do zapoznania się również z tymi wpisami:


Co dokładnie wprowadza NIS 2?


Przede wszystkim, NIS 2 dzieli istotne sektory gospodarki na dwie części - sektory kluczowe i sektory ważne.


Sektory kluczowe (sectors of high criticality) – w skład tego sektora wchodzą następujące branże: energetyki, transportu (np. lotniczego, kolejowego), bankowości, infrastruktury, rynków finansowych, opieki zdrowotnej, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT, administracji publicznej i przestrzeni kosmicznej.


Nas najbardziej interesuje to co wchodzi w skład „infrastruktury cyfrowej”. To pojęcie obejmuje następujące kategorie dostawców:

  • dostawcy usług chmurowych usługę chmurową zdefiniowano jako usługę cyfrową umożliwiającą administrowanie na żądanie skalowalnym i elastycznym zbiorem zasobów obliczeniowych do wspólnego wykorzystywania oraz szeroki dostęp zdalny do tego zbioru, w tym również gdy takie zasoby są rozproszone w kilku lokalizacjach. Innymi słowy, spora część firm, która umożliwia dostęp do różnych rozwiązań chmurowych, będzie podlegała pod przepisy dyrektywy NIS 2,

  • dostawcy punktu wymiany ruchu internetowego,

  • dostawcy usług DNS,

  • rejestry nazw TLD (rejestr nazw domen najwyższego poziomu),

  • dostawcy usług ośrodka przetwarzania danych – tu w grę wchodzą np. różne data center,

  • dostawcy sieci dostarczania treści,

  • dostawcy usług zaufania,

  • dostawcy publicznych sieci łączności elektronicznej,

  • dostawcy publicznie dostępnych usług łączności elektronicznej.


Dodatkowo, NIS2 w ramach sektorów kluczowych wyróżnia również "zarządzanie usługami ICT (między przedsiębiorstwami) - podmiotami, które muszą stosować przepisy są:

  • dostawcy usług zarządzanych,

  • dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.


Co to jest usługa zarządzania - w największym skrócie, to usługa świadczona na rzecz klientów, która polega na wdrażaniu albo utrzymaniu systemów IT. Takim podmiotem będzie np. spółka, która zapewnia usługi wsparcia technicznego albo odpowiada za utrzymanie (prawidłowe działanie) oprogramowania.


Sektory ważne (other critical sectors) – tu mamy do czynienia z następującymi branżami: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja żywności, chemikaliów, pojazdów i innego sprzętu transportowego,  wyrobów medycznych, komputerów czy urządzeń elektronicznych.,

 

Nas oczywiście najbardziej interesują dostawcy usług cyfrowych, którymi są:

  • dostawcy internetowych platform handlowych,

  • dostawcy wyszukiwarek internetowych,

  • dostawcy platform usług sieci społecznościowych.

 

To, w połączeniu z wielkością przedsiębiorstwa wpływa na to czy jesteśmy podmiotem kluczowym (essential entity) albo podmiotem ważnym (important entity).

Jak ustalić czy jesteśmy podmiotem kluczowym lub podmiotem ważnym?


Generalna zasada jest taka, że:

  • Podmiot, który działa w sektorze kluczowym i nie jest małym/mikro/średnim przedsiębiorcą (tylko dużym), tj. ma powyżej 250 pracowników lub jego obroty są większe niż 50 milionów euro  (ew. wartość aktywów jest większa niż 43 miliony Euro), jest podmiotem kluczowym,

  • Podmiot, który działa w sektorze kluczowym i jest średnim przedsiębiorcą, tj. ma pomiędzy 50 a 250 pracowników, albo jego obroty mieszczą się w widełkach pomiędzy 10 milionów Euro a 50 milionów Euro (ew. wartość aktywów jest pomiędzy 10 milionów Euro a  43 miliony Euro), jest podmiotem ważnym,

  • Podmiot, który działa w sektorze ważnym i jest średnim albo dużym przedsiębiorcą jest podmiotem ważnym (czyli nie kluczowym – niezależnie od wielkości).


infografika przedstawiająca podmioty kluczowe i ważne - NIS2


Podmiot, który jest mikro albo małym przedsiębiorcą generalnie nie podlega pod przepisy NIS 2, chyba że zachodzi jeden z wyjątków (np. jest kwalifikowanym dostawcą usług zaufania i rejestrów nazw domen najwyższego poziomu, a także dostawcą usług DNS). W takim przypadku będzie on zwykle podmiotem kluczowym.

 

Dodatkowo, odpowiednie organy państw członkowskich mogą też wydawać decyzje dotyczące uznania jakichś podmiotów za kluczowe z punktu widzenia cyberbezpieczeństwa (czyli dyrektywy NIS2), nawet jeśli nie spełniają powyższych warunków dot. wielkości, ale np. mają istotne znaczenie z perspektywy dostarczania kluczowych usług dla ludności.

Uwaga! Ważne! Sam fakt, że działamy w sektorze „kluczowym” nie oznacza, że jesteśmy podmiotem „kluczowym” – dyrektywa wprowadza dodatkowe kryteria w tym zakresie. Ta regulacja nie jest niestety zbyt intuicyjna. Może się więc zdarzyć tak, że działając w sektorze kluczowym, będziemy jedynie podmiotem „ważnym”.


Tym samym, w NIS 2 ustawodawca europejski odszedł od dotychczasowego, sztywnego rozróżnienia na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne.


W jaki sposób będzie przebiegała weryfikacja tego kto jest podmiotem kluczowym a kto ważnym?


Dyrektywa NIS 2 wymaga aby każdy podmiot, działający w sektorach wskazanych powyżej, tj. kluczowym lub ważnym, sprawdził czy podlega pod nowe przepisy. Jeśli tak – powinien zgłosić się do odpowiedniego rejestru, prowadzonego przez organy państwowe. Szczegóły w tym zakresie zostaną doprecyzowane na poziomie państw członkowskich – nie wiemy jeszcze jak to będzie wyglądało w Polsce.


Tym samym NIS 2 odchodzi od dotychczasowej praktyki, w ramach której to organy państwowe wydawały decyzję wskazującą na to czy ktoś jest operatorem usługi kluczowej, muszącym stosować regulacje dot. cyberbezpieczeństwa.

Teraz po prostu każdy będzie sam weryfikował, czy spełnia warunki opisane w NIS 2 i podlega tym regulacjom. Innymi słowy, sami musimy sprawdzić czy nasza organizacja:

  • podlega pod przepisy NIS 2 i działa w sektorze kluczowym lub ważnym,

  • jest podmiotem kluczowym albo podmiotem ważnym.


Jeśli odpowiemy na oba pytania twierdząco, to nasza organizacja rzeczywiście podlega nowym regulacjom. W konsekwencji, będziemy musieli zgłosić się do rządowej bazy i oczywiście dostosować swoją działalność do wymogów dyrektywy.


Jakie obowiązki wynikają z dyrektywy NIS2?


Na początku muszę wspomnieć, że obowiązki dotyczące podmiotów kluczowych oraz podmiotów ważnych są bardzo podobne. Większość kroków, które trzeba podjąć, jest dokładnie taka sama.


Oczywiście, praktyczna implementacja tych wymogów będzie się różniła w zależności od tego w jakim sektorze działa dana organizacja i na jakie zagrożenia związane z cyberbezpieczeństwem jest narażona.


Natomiast z perspektywy NIS 2 ogólne zasady postępowania są dokładnie takie same dla podmiotów kluczowych i ważnych.


Dyrektywa wymaga przede wszystkim przyjęcia odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. NIS 2 dzieli środki bezpieczeństwa na techniczne, organizacyjne i operacyjne. Celem zastosowania takich środków jest oczywiście zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych.

Osobami odpowiedzialnymi za zatwierdzenie tych środków będą członkowie organów zarządzających podmiotów kluczowych i ważnych – np. członkowie zarządów spółek albo innych organizacji. To oni powinni również nadzorować wdrożenie tych środków (czyli ich prawidłową implementację w organizacji) i za to ponoszą odpowiedzialność. Finalnie, członkowie organów zarządzających muszą brać udział w szkoleniach dotyczących cyberbezpieczeństwa.


Samo przyjęcie odpowiednich środków zarządzania ryzykiem powinno zostać oparte o przeprowadzona analizę ryzyka. W trakcie przeprowadzania takiej analizy powinniśmy uwzględnić:

  • Najnowszy stan wiedzy,

  • Odpowiednie normy europejskie i międzynarodowe,

  • Koszty wdrażania zabezpieczeń.


Proces przeprowadzania analizy ryzyka zgodnie z przepisami dyrektywy NIS 2 jest zbliżony do tego z RODO. Jeśli chcesz dowiedzieć się więcej na ten temat, zapraszam Cię do przeczytania tego artykułu: analiza ryzyka zgodna z RODO.


Jakie konkretne zabezpieczenia trzeba wdrożyć w ramach organizacji, żeby być zgodnym z NIS 2?


Dyrektywa nie precyzuje, jakie środki bezpieczeństwa na pewno będą wystarczające. Zamiast tego każe się oprzeć się o przeanalizowane ryzyko i na tej podstawie dostosować zabezpieczenia do charakteru działania organizacji i potencjalnych zagrożeń.


Natomiast NIS 2 wprost wskazuje, że podmioty nią objęte muszą zapewnić co najmniej następujące elementy:

  • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;

  • obsługę incydentu;

  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;

  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;

  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;

  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;

  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;

  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;

  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;

  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Celem przyjęcia tych środków bezpieczeństwa jest minimalizacja wpływu potencjalnego incydentu np. na świadczone usługi i odbiorców takich usług.


Dodatkowo, Komisja Europejska do 17 października 2024 r. opublikuje szczegółowe akty wykonawcze, dotyczące wymogów technicznych i metodyki dotyczące środków bezpieczeństwa w odniesieniu do różnych dostawców usług IT. To powinno pomóc podmiotom ważnym i kluczowym w przeprowadzeniu analizy ryzyka oraz wyborze odpowiednich zabezpieczeń.


Informowanie o incydentach


Podmioty kluczowe i ważne mają obowiązek zgłaszania poważnych incydentów w zakresie cyberbezpieczeństwa do CSIRT. Dodatkowo, w niektórych przypadkach konieczne jest powiadomienie odbiorców usług o tych poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług.


CSIRT to Computer Security Incident Response Team (zespół reagowania na incydenty bezpieczeństwa komputerowego) – w realiach dyrektywy NIS 2 to wyznaczona przez organy państwowe instytucja, która ma zajmować się cyberbezpieczeństwem. Takich CSIRTów w danym kraju może być kilka. W Polsce tak właśnie jest, zostały one utworzone już na podstawie starych przepisów.


NIS 2 przewiduje kryteria uznania jakiegoś incydenty za poważny, tzn. taki, które trzeba zgłosić do CSIRT. Są to sytuacje, gdy incydent:

  • spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu,

  • wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

 

Wstępne ostrzeżenie o wystąpieniu poważnego incydentu powinno być przekazana do CSIRT (oraz do odbiorców usług) w 24 godziny od powzięcia wiedzy o incydencie. Następnie, w czasie 72 godzin do CSIRT przekazywana jest wstępna ocena poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu. Finalnie, w ciągu miesiąca podmiot ważny lub kluczowy przekazuje do CSIRT końcowe sprawozdanie z incydentu.


Dostosowanie przepisów krajowych


W związku z wejściem w życie dyrektywy NIS 2 konieczne jest dostosowanie do niej polskich przepisów, czyli ustawy o Krajowym Systemie Cyberbezpieczeństwa.


Polska ma na to czas do 17 października 2024 r. Zmiany będą musiały objąć zakres podmiotów, które muszą stosować nowe przepisy, uregulować kwestie zgłaszania incydentów oraz tworzenia strategii bezpieczeństwa na poziomie krajowym. Poza tym nowelizacja ma wprowadzić instytucję Operatora Strategicznej Sieci Bezpieczeństwa – będzie to spółka Skarbu Państwa posiadająca odpowiednie środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej.


O nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa było już głośno przed wprowadzeniem NIS 2. Teraz autorzy projektu będą jednak musieli zadbać o to, żeby znowelizowana ustawa odpowiadała wymogom NIS 2.


Zainteresował Cię temat dyrektywy NIS2? Jeżeli masz jakieś wątpliwości, pytania lub potrzebujesz innej pomocy prawnej, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.

 


 

 


 

 


Comments


Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page