Weszła w życie unijna Dyrektywa NIS 2. Sprawdź, co powinieneś wiedzieć!
18.10.2024 / Artykuły / Własność intelektualna
W obliczu rosnącego zagrożenia cyberatakami na poziomie międzynarodowym, Unia Europejska podjęła decyzję o zaostrzeniu regulacji w celu skuteczniejszej ochrony instytucji oraz kluczowych sektorów gospodarki. Jednym z najważniejszych działań w tym zakresie jest wprowadzenie Dyrektywy NIS 2, która ma na celu ustanowienie ram prawnych sprzyjających podniesieniu poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich.
Dyrektywa NIS 2 – Nowe ramy prawne w zakresie cyberbezpieczeństwa
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) doprecyzowała i rozszerzyła przepisy zwiększające bezpieczeństwo sieci i systemów informatycznych, wprowadzone dyrektywą NIS z 6 lipca 2016 roku.
Nowe przepisy mają znaleźć zastosowanie we wszystkich państwach członkowskich Unii Europejskiej już od 18 października 2024 r. Należy jednak zaznaczyć, że na ten moment projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedstawiony 23 kwietnia 2024 r. nie został nawet przedłożony Sejmowi. Przebieg prac nad projektem można śledzić na stronie Rządowego Centrum Legislacji pod następującym linkiem: https://legislacja.gov.pl/projekt/12384504.
Kogo dotyczy NIS 2?
Dyrektywa NIS 2 rozszerza obowiązki w zakresie cyberbezpieczeństwa na nowe sektory nakładając szczególne wymagania na podmioty, które odgrywają strategiczną rolę w funkcjonowaniu rynku wewnętrznego Unii Europejskiej. Wymagania zawarte w dyrektywie NIS 2 dotyczą w szczególności podmiotów kluczowych i ważnych, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich przedsiębiorstw (zatrudniające co najmniej 50 osób oraz których obroty roczne lub roczna suma bilansowa wynoszą od 10 mln EURO).
Sektory kluczowe obejmują:
- energetykę,
- transport,
- bankowość,
- infrastrukturę rynków finansowych,
- opiekę zdrowotną,
- zaopatrzenie w wodę pitną,
- systemy kanalizacyjne (ścieki),
- infrastrukturę cyfrową,
- zarządzanie usługami ICT,
- administrację publiczną,
- przestrzeń kosmiczną.
Sektory ważne obejmują:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcję, przetwarzanie i dystrybucję chemikaliów,
- produkcję, przetwarzanie i dystrybucję żywności,
- przemysł produkcyjny,
- usługi cyfrowe,
- badania naukowe,
Dyrektywa znajduje także zastosowanie do podmiotów „w rodzaju” tych działających w sektorach ważnych i kluczowych, m.in. w przypadku:
- wybranych podmiotów administracji publicznej,
- dostawców usług, które mają kluczowe znaczenie dla utrzymania działalności społecznej lub gospodarczej o krytycznym charakterze, jeśli są jedynymi tego rodzaju podmiotami w danym kraju,
- usług, których zakłócenie może mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne, zdrowie publiczne lub może prowadzić powstania poważnego ryzyka systemowego,
- usług świadczonych przez:
- dostawców usług zaufania,
- rejestry nazw domen najwyższego poziomu (TLD) i dostawców usług systemów nazw domen (DNS),
- dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej,
- podmiotów o charakterze krytycznym,
A także:
- podmiotów zidentyfikowanych jako podmioty mające charakter krytyczny na mocy dyrektywy (UE) 2022/2557, niezależnie od ich wielkości,
- podmiotów świadczących usługi rejestracji nazw domen, niezależnie od ich wielkości,
Obowiązki związane z Dyrektywą
Zgodnie z postanowieniami Dyrektywy NIS 2, podmioty objęte jej zakresem będą zobowiązane do wdrożenia szeregu środków i procedur związanych z zarządzaniem ryzykiem cyberbezpieczeństwa. Do najważniejszych obowiązków należą:
- Zgłaszanie incydentów: Podmioty objęte dyrektywą zobowiązane będą do zgłaszania poważnych (mających wpływ na świadczenie usług) incydentów właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT (Computer Security Incident Response Team) lub swojemu właściwemu organowi.
- Wprowadzanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu, obejmujących co najmniej następujące elementy:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
- obsługę incydentów;
- ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
- podstawowe praktyki cyberhigieny takie jak zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników i szkolenia w zakresie cyberbezpieczeństwa;
- polityki i procedury stosowania kryptografii i szyfrowania;
- bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
- stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych
- Powiadamianie odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie tych usług oraz o środkach zaradczych które mogą oni podjąć, aby ograniczyć ryzyko wynikające z poważnego cyberzagrożenia.
- Dodatkowe obowiązki organów zarządzających podmiotów kluczowych i ważnych:
- regularne szkolenia w celu zdobycia wiedzy i umiejętności pozwalających rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na świadczone usługi (wskazane jest również oferowanie podobnych szkoleń pracownikom),
- zatwierdzanie przyjętych środki zarządzania ryzykiem w cyberbezpieczeństwie,
- nadzorowanie ich wdrażania.
- Stosowanie (własnych lub nabytych) produktów, usług i procesów ITC, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa. Rekomendowane jest także korzystanie z kwalifikowanych usług zaufania.
- Dokumentowanie polityki cyberbezpieczeństwa.
- Działania naprawcze: Podmioty będą zobowiązane do podejmowania działań w celu usunięcia uchybień lub zapewnienia zgodności z wymogami prawnymi na żądanie właściwych organów.
- Audyt bezpieczeństwa: obowiązek regularnego przeprowadzania audytów bezpieczeństwa, realizowanych przez wykwalifikowanych audytorów, w celu oceny zgodności z obowiązującymi standardami i przepisami w zakresie cyberbezpieczeństwa.
Wzmocnienie współpracy międzynarodowej
Jednym z kluczowych aspektów Dyrektywy NIS 2 jest wzmocnienie międzynarodowej współpracy w zakresie cyberbezpieczeństwa. Dyrektywa nakłada na państwa członkowskie obowiązek tworzenia krajowych organów odpowiedzialnych za cyberbezpieczeństwo oraz współpracy na szczeblu Unii Europejskiej. Centralnym elementem tej współpracy jest utworzenie w każdym państwie członkowskim Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), który będzie odpowiedzialny za obsługę incydentów.
Kary
Niewywiązanie się przez odpowiednie podmioty z obowiązków wynikających z Dyrektywy NIS 2 będzie skutkować nałożeniem sankcji finansowych. Kary te mogą wynosić:
- w przypadku podmiotów z sektorów kluczowych – do 10 mln EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa,
- w przypadku podmiotów z sektorów ważnych – do 7 mln EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa
Jak się przygotować?
Przygotowanie do wdrożenia dyrektywy NIS 2 wymaga wieloaspektowego podejścia, obejmującego działania prawne, organizacyjne, techniczne oraz proceduralne. W przygotowaniu przedsiębiorstwa do spełnienia wymagań dyrektywy może pomóc:
- Identyfikacja czy przedsiębiorstwo prowadzi działalność w obszarze podlegającym obowiązkom wynikającym z dyrektywy,
- Przeprowadzenie kompleksowej oceny ryzyka cyberbezpieczeństwa, identyfikacja potencjalnych luk w zabezpieczeniach,
- Weryfikacja zgodności regulacji i polityk wewnętrznych z Dyrektywą NIS 2 a w razie potrzeby -ich dostosowanie,
- Zwiększenie zabezpieczeń technicznych, wzmocnienie mechanizmów ochrony, usprawnienie monitoringu, wdrożenie zaawansowanych systemów analizy zagrożeń,
- Opracowanie procedur zarządzania incydentami (odpowiedź na incydenty, raportowanie incydentów), przygotowanie dokumentacji związanej z zarządzaniem ciągłością działania,
- Przeprowadzenie szkoleń dla kadry zarządzającej oraz pracowników w celu podniesienia świadomości i umiejętności w zakresie cyberbezpieczeństwa,
Autor publikacji
Powiązane
02.08.2024 / Artykuły
Unijny akt w sprawie sztucznej inteligencji (AI Act) może okazać się poważnym wyzwaniem dla przedsiębiorców