top of page
Zdjęcie autoraMichał Nosowski

Dyrektywa NIS2 i ustawa o krajowym systemie cyberbezpieczeństwa a branża produkcyjna, czyli bezpieczeństwo IT w Twojej fabryce

Zaktualizowano: 15 lip

człowiek pracujący w fabryce

Kilka lat temu w Unii Europejskiej przyjęta została dyrektywa NIS, która miała na celu zwiększenie cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej.


Ciągły rozwój technologii i dynamicznie przebiegająca transformacja cyfrowa wywołały potrzebę „odświeżenia” dyrektywy NIS, czego efektem jest nowa dyrektywa NIS2 , o której pisałem w odrębnej notatce, dostępnej na blogu.


Dyrektywa NIS została implementowana do polskiego porządku prawnego w ramach ustawy o krajowym systemie cyberbezpieczeństwa. Z uwagi na konieczność dostosowania przepisów do wymogów NIS2, wyżej wymieniona ustawa ulegnie zmianie.


Dyrektywa NIS2 powinna zostać implementowana do polskiego porządku prawnego do 17 października 2024 r. Oznacza to, że do tego czasu ustawa o krajowym systemie cyberbezpieczeństwa powinna ulec zmianie. Tym samym zmianie ulegną również wynikające z niej obowiązki, nałożone na przedsiębiorców.

Ten wpis koncentruje się na obowiązkach nałożonych przez dyrektywę NIS2 na podmioty z branży produkcyjnej. Jeśli chcesz dowiedzieć się nieco bardziej ogólnych informacji na jej temat, zapraszam Cię tutaj: dyrektywa NIS2 - kogo dotyczy i jakie obowiązki z niej wynikają.


Jakie firmy produkcyjne podlegają przepisom dyrektywy NIS2?


Przepisy dyrektywy NIS2 rozszerzają listę organizacji, które muszą spełniać odpowiednie standardy w zakresie cyberbezpieczeństwa.


W ich skład wchodzą np. niektóre podmioty zajmujące się produkcją – chodzi tu o produkcję:

  • chemikaliów,

  • żywności,

  • wyrobów medycznych (w tym wyrobów medycznych do diagnostyki in vitro),

  • komputerów, wyrobów elektronicznych i optycznych,

  • urządzeń elektrycznych,

  • maszyn i urządzeń,

  • pojazdów samochodowych, przyczep i naczep,

  • pozostałego sprzętu transportowego.


Te sektory gospodarki uznawane są za tzw. sektory ważne w rozumieniu przepisów NIS2.


To dość ogólna lista. Natomiast istnieje też bardziej szczegółowe wyjaśnienie kto wchodzi w skład podmiotów, które muszą stosować dyrektywę NIS2. Odwołuje się ona do klasyfikacji NACE Rev. 2 – czyli unijnej statystycznej klasyfikacji działalności gospodarczej.


To w tym „rejestrze” możesz dokładnie sprawdzić, czy Twoja organizacja wpisuje się w kategorię podmiotów podlegających przepisom NIS2 - podmioty, które im podlegają są wskazane w sekcji C, w działach 26, 27, 28, 29 i 30 tejże klasyfikacji. Co ciekawe, oprócz sprzętu elektronicznego NIS2 obejmuje także np. produkcję zegarków i sprzętu fotograficznego.


Jednakże nie każda organizacja, która zajmuje się ww. działalnością produkcyjną musi przejmować się nowymi przepisami.


Generalnie dyrektywa nie dotyczy mikroprzedsiębiorstw ani małych przedsiębiorców (czyli takich, które zatrudniają mniej niż 50 pracowników i mają poniżej 10 mln euro obrotu/sumy bilansowej rocznie).

Istnieje jednak mały wyjątek - państwo członkowskie UE może uznać dany podmiot za ważny, nawet jeśli jest mikro albo małym przedsiębiorcą. Natomiast to dotyczy bardzo specyficznych podmiotów, które są istotne gospodarczo, pomimo swoich niewielkich rozmiarów.


Ale to musi być naprawdę ponadstandardowa sytuacja - w normalnych warunkach dyrektywa NIS2 dotyczy przede wszystkim średnich i dużych przedsiębiorców.


W tym wpisie wyjaśnię jakie obowiązki nakładane są na podmioty z branży produkcyjnej i wyjaśnimy, w jakim zakresie dyrektywa NIS2 znajduje do niej zastosowanie.



fabryka


Podmioty ważne z branży produkcyjnej


Przepisy dyrektywy NIS2 dzielą organizacje, które jej podlegają na:

  • podmioty kluczowe - takie, w których bezpieczeństwo IT jest istotne z perspektywy funkcjonowania danej gałęzi gospodarki, społeczeństwa lub bezpieczeństwa państwa itp.,

  • podmioty ważne - czyli takie, w których bezpieczeństwo IT też jest istotne, acz nie ma to aż tak krytycznego znaczenia z perspektywy bezpieczeństwa społeczeństwa, państwa itp.


Przy okazji wspomnę, że sam fakt, że ktoś działa w sektorze kluczowym nie oznacza, że będzie automatycznie podmiotem kluczowym. Może być bowiem "tylko" podmiotem ważnym. To skomplikowane? Pewnie tak - jeśli chcesz dowiedzieć się więcej, zapraszam Cię do przeczytania wpisu, w którym to wyjaśniam - podlinkowałem go wcześniej.


Na szczęście w przypadku branży produkcyjnej sytuacja jest dość jasna - mamy w niej do czynienia tylko z podmiotami ważnymi (nie licząc jakichś bardzo specyficznych wyjątków).


Uwaga - powyższe opisy dot. zakresu podmiotów, które podlegają przepisom dyrektywy NIS2 opierają się o samą dyrektywę - polska ustawa o krajowym systemie cyberbezpieczeństwa może jeszcze rozszerzyć ten katalog.

Wskazane powyżej podmioty z branży produkcyjnej zostały uznane za ważne, ponieważ w świetle dyrektywy ich działalność ma istotny wpływ na funkcjonowanie gospodarki Unii Europejskiej. Są jednocześnie narażone na ataki cyberprzestępców z uwagi na duży stopień zależności od bezpieczeństwa systemów informatycznych.


Jakie obowiązki spoczywają na podmiotach ważnych z branży produkcyjnej?


Do głównych obowiązków, które nakłada dyrektywa NIS2 należy:

  • przyjęcie (wdrożenie) środków zarządzania ryzykiem w cyberbezpieczeństwie,

  • zgłaszanie incydentów cyberbezpieczeństwa.


Co prawda do wejścia w życie przepisów implementujących dyrektywę pozostało jeszcze co najmniej kilka miesięcy (polska ustawa nadal nie została przyjęta), jednak sugeruję, żeby już na tym etapie zorientować się, czy NIS2 nas dotyczy.


Szczególną uwagę do nowych przepisów powinny zwrócić organy zarządzające podmiotów z branży produkcyjnej, gdyż to na nich spoczywa obowiązek zatwierdzenia środków zarządzania ryzykiem, nadzoru nad ich wdrażaniem i w razie jakichkolwiek naruszeń będą ponosić odpowiedzialność.

Szacowanie ryzyka w zakresie cyberbezpieczpieczeństwa


NIS2 nakłada na podmioty ważne obowiązek wdrożenia odpowiednich i proporcjonalnych środków w zakresie cyberbezpieczeństwa.


Dlaczego w dyrektywie napisano, że środki mają być odpowiednie i proporcjonalne?


Dyrektywa NIS2 opiera się o tzw. podejściu opartym o ryzyko - oznacza to, że przedsiębiorca sam musi ocenić jakie ryzyka wiążą się z wykorzystaniem sieci i systemów informatycznych, a następnie zapewnić poziom bezpieczeństwa w sposób adekwatny do tak oszacowanego ryzyka. W procesie szacowania ryzyka powinniśmy wziąć pod uwagę:

  • stopień narażenia podmiotu na ryzyko,

  • wielkość podmiotu,  

  • prawdopodobieństwo wystąpienia incydentów,

  • dotkliwość incydentów, w tym ich skutki społeczne i gospodarcze.


To celowy zabieg, który ma na celu wymuszenie na podmiotach zobowiązanych do przestrzegania przepisów to:

  • aby samodzielnie oszacowały ryzyko występowania incydentów dotyczących bezpieczeństwa,

  • a następnie na podstawie tej oceny wdrożyły odpowiednie środki bezpieczeństwa - dzięki temu zabezpieczenia powinny uwzględniać wielkość i charakter działania podmiotu.


Ostatecznym celem wdrożenia środków bezpieczeństwa jest zapobieganie wpływowi incydentów na odbiorców usług albo chociaż na minimalizowanie takiego wpływu.


To istotne - ostatecznie chronimy to aby nasze usługi działały prawidłowo i aby ich odbiorcy mogli bez przeszkód z nich korzystać.


Jakie środki bezpieczeństwa wyróżnia dyrektywa NIS2?


Zgodnie z dyrektywą NIS2, środki bezpieczeństwa mają za zadanie chronić nasze sieci, systemy, jak również środowisko fizyczne, w ramach których te sieci i systemy funkcjonują.


Środki bezpieczeństwa dzielą się na:

  • techniczne,

  • operacyjne,

  • organizacyjne.


Dodatkowo, NIS2 podkreśla, że wdrażając środki bezpieczeństwa, powinniśmy wziąć pod uwagę:

  • najnowszy stan wiedzy,

  • normy europejskie i międzynarodowe (o ile istnieją),

  • koszty wdrożenia.


Innymi słowy, są to wszelkie środki, które pozwolą organizacji podjąć odpowiednie kroki związane z ewentualnym wystąpieniem incydentu i jednocześnie pozwolą zapobiegać incydentom w przyszłości.


Dodatkowo, niektóre postanowienia NIS2 wprost wskazują to jakie środki bezpieczeństwa muszą być wdrożone aby być zgodnym z NIS2. Obejmują one co najmniej następujące elementy:

  • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,

  • obsługę incydentu,

  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe,

  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,

  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie,

  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,

  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,

  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,

  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami,

  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.


Ocena ryzyka i wdrożenie środków bezpieczeństwa może wymagać przeprowadzenia uprzedniego audytu bezpieczeństwa.

pracownicy w biurze

Inne obowiązki wynikające z dyrektywy NIS2


Drugim ważnym obowiązkiem jest zgłaszanie incydentów do właściwych organów. Ponadto w stosownych przypadkach należy powiadomić odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług.


O czym jeszcze musisz pamiętać? O odpowiednim przeszkoleniu pracowników, a w szczególności organów zarządzających przedsiębiorstwem. To na nich spoczywa największa odpowiedzialność. Przeprowadzenie stosownych szkoleń z pewnością pozwala zminimalizować ryzyko tej odpowiedzialności.


Implementacja dyrektywy NIS2 skutkuje pojawieniem się nowych wyzwań dla przedsiębiorstw.


Natomiast spełnienie wymogów dyrektywy nie jest czymś niewykonalnym.


Wymaga podjęcia kilku kroków, mających na celu ustalenie tego jak wygląda sytuacja związana z bezpieczeństwem informatycznym w Twojej organizacji - np. przeprowadzenia audytu bezpieczeństwa albo zweryfikowania czy organizacja była w przeszłości ofiarą cyberprzestępstwa. Na tej podstawie łatwiej będzie przeprowadzić rzetelną analizę ryzyka i wdrożyć odpowiednie zabezpieczenia informatyczne. Nie zapominaj o przeszkoleniu personelu pod kątem cyberbezpieczeństwa - w tym również kadry zarządzającej.


Zainteresował Cię temat dyrektywy NIS2? Jeżeli masz jakieś wątpliwości, pytania lub potrzebujesz innej pomocy, związanej z dostosowaniem swojej organizacji do przepisów NIS2, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.

 

 



 

 

 

Comentários


Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page