Nowe przepisy uchylają obowiązującą od 2016 r. dyrektywę (UE) 2016/1148, wprowadzając nowe, adekwatne do dzisiejszych czasów rozwiązania prawne i techniczne z zakresu bezpieczeństwa sieci i urządzeń informatycznych.
NIS 2 to unijna dyrektywa, której celem jest zagwarantowanie, by wszystkie istotne i działające w kluczowych sektorach gospodarki instytucje publiczne i podmioty prywatne, oferowały wspólny poziom cyberbezpieczeństwa w całej Unii, co ma przyczynić się do poprawy funkcjonowania rynku wewnętrznego. Konieczność nowelizacji starych przepisów wynika z faktu pojawienia się w ciągu ostatnich lat nowych cyberzagrożeń, a także rozszerzenia katalogu usług, które są świadczone i dostępne online. W związku z tym na określone podmioty nałożone muszą zostać nowe, dodatkowe wymogi związane z bezpieczeństwem w sieci, wiążące się jednocześnie z tym, że będą one zobligowane, by poświęcać na ten cel więcej środków.
Kogo dotyczy dyrektywa NIS 2?
NIS 2, jak wynika z art. 2 ust. 1 dyrektywy, odnosi się w swojej treści do podmiotów publicznych i prywatnych w rodzaju tych, o których mowa w załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia 2003/361/WE lub które przekraczają pułapy dla średnich przedsiębiorstw oraz które świadczą usługi lub prowadzą działalność w Unii, różnicując je na podmioty „kluczowe” i podmioty „ważne”. Porównując dyrektywę NIS 2 z jej poprzedniczką, możemy zauważyć, że zmienił się nie tylko dotychczas stosowany podział, ale i wyraźnemu rozszerzeniu uległ także katalog sektorów, które podlegają nowym przepisom.
Za „kluczowe”dyrektywa uznaje podmioty działające m.in. w sektorze transportu, energetyki, bankowości, opieki zdrowotnej, czy infrastruktury rynków finansowych. Podmiotami ważnymi pozostają natomiast m.in. przedsiębiorstwa świadczące usługi pocztowe i kurierskie, zajmujące się produkcją, czy też gospodarujące odpadami.
Przez średnie przedsiębiorstwa klasyfikowane na podstawie art. 2 załącznika do zalecenia 2003/361/WE, o których mowa powyżej, należy z kolei rozumieć przedsiębiorstwa zatrudniające co najmniej 50 pracowników (ale nie więcej niż 250), których obroty roczne przekraczają 10 mln euro, ale nie więcej niż 50 mln euro.
Jakie obowiązki z zakresu cyberbezpieczeństwa spoczywają na podmiotach ważnych i kluczowych?
Na podmiotach kluczowych i ważnych spoczywa obowiązek wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa sieci i systemów informatycznych poprzez zarządzanie ryzykiem i zapobieganie incydentom. W ocenie proporcjonalności pod uwagę powinno brać się w szczególności wielkość podmiotu, stopień ryzyka narażenia podmiotu, a także prawdopodobieństwo wystąpienia incydentów.Zgodnie z art. 21 dyrektywy NIS 2, środki te obejmują elementy takie jak:
- • polityka analizy ryzyka i bezpieczeństwa systemów informatycznych,
- • obsługa incydentu, rozumiana jako działania i procedury mające na celu zapobieżenie incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie na niego i przywrócenie normalnego działania,
- • ciągłość działania, np. zarządzanie kopiami zapasowymi,
- • bezpieczeństwo łańcucha dostaw,
- • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
- • polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania.
Podmioty kluczowe i ważne, które będą dopuszczać się w powyższym zakresie naruszeń, powinny liczyć się z dotkliwymi, administracyjnymi karami pieniężnymi, w wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego rocznego przychodu (dla podmiotów kluczowych) bądź 7 mln euro lub 1,4% łącznego rocznego obrotu (dla podmiotów ważnych).
NIS 2 w ustawodawstwie krajowym
Wdrożenie postanowień dyrektywy NIS 2 wymaga nowelizacji polskiego ustawodawstwa, a konkretnie ustawy o krajowym systemie bezpieczeństwa (ustawa o KSC). Na stronie Kancelarii Prezesa Rady Ministrów, w sekcji poświęconej wykazowi prac legislacyjnych, pojawiła się w ostatnich dniach informacja o planowanym projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
Mając na uwadze powyższe, nowelizacja ustawy o KSC będzie koncentrować się w szczególności na kwestiach takich jak rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki, wprowadzenie możliwości zgłaszania incydentów za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji do właściwych zespołów CSIRT, czy wprowadzenie nowych administracyjnych kar pieniężnych za niewykonanie ustawowych obowiązków.
Sam projekt ustawy nie jest jeszcze dostępny, jednakże, zważając na to, że implementacja powinna nastąpić do 17 października br., czasu nie pozostało już zbyt wiele. Wkrótce powinny rozpocząć się dlatego konsultacje publiczne oraz uzgodnienia.
My tymczasem zachęcamy Państwa, by już teraz zacząć interesować się tym tematem i przeanalizować, jakie obszary w firmie wymagają zmian, aktualizacji, w celu dostosowania ich do nowych przepisów. Po wsparcie prawne w tym zakresie zapraszamy do naszej kancelarii, która specjalizuje się w obsłudze firm transportowych!
 | Łukasz Medaj |
