Na początku 2023 roku weszła w życie dyrektywa NIS 2[1], która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS[2], zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa[3]. Mimo że termin implementacji dyrektywy NIS 2 upływa dopiero 17 października 2024 roku, a precyzyjny zakres regulacji w istotnym zakresie będzie zależał od decyzji polskiego ustawodawcy, to na wiele pytań związanych z przyszłymi obowiązkami możemy odpowiedzieć już teraz.  

Co zmienia dyrektywa NIS 2?

Główną zmianą w stosunku do obecnej dyrektywy NIS jest znaczące rozszerzenie zakresu podmiotów objętych regulacjami, a także zrównanie obowiązków nakładanych na dwie główne grupy: podmioty kluczowe i ważne. Jest to istotne, ponieważ dotychczas obowiązki operatorów usług kluczowych oraz dostawców usług cyfrowych nie były jednolite i różniły się między sobą. Dyrektywa NIS 2 wprowadza również nowe możliwości egzekwowania przepisów. Unijny prawodawca uregulował też wymagania w zakresie nakładania administracyjnych kar pieniężnych, sankcji karnych oraz odpowiedzialności osób na stanowiskach zarządczych.

Co istotne, celem dyrektywy NIS 2 jest również zapewnienie spójności z nowymi przepisami sektorowymi. Mowa tu przede wszystkim o rozporządzeniu DORA[4], które stanowi lex specialis względem dyrektywy NIS 2 i reguluje ramy zarządzania ryzykiem i wzmacniania cyberbezpieczeństwa podmiotów finansowych (oraz podmiotów świadczących usługi ICT na rzecz podmiotów finansowych).

Podmioty objęte regulacją

Dyrektywa NIS 2 będzie miała zastosowanie do podmiotów publicznych oraz prywatnych, o których mowa w załączniku I lub II do dyrektywy. Są to jednostki, które świadczą usługi lub prowadzą działalność w UE i jednocześnie kwalifikują się jako średnie przedsiębiorstwa lub przekraczają pułapy dla średnich przedsiębiorstw.

W załączniku I jako sektory kluczowe wskazano:

  • energetykę,
  • transport,
  • bankowość,
  • infrastrukturę rynków finansowych,
  • opiekę zdrowotną,
  • sektor wody pitnej,
  • ścieki,
  • infrastrukturę cyfrową,
  • zarządzanie usługami ICT,
  • administrację publiczną,
  • przestrzeń kosmiczną.

Natomiast w załączniku II wśród sektorów ważnych znalazły się takie sektory jak:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja, przetwarzanie i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • produkcja (szeroko pojęta),
  • usługi cyfrowe,
  • badania naukowe.

Zarządzanie ryzykiem i zgłaszanie incydentów

Na podmioty kluczowe i ważne zostaną nałożone jednakowe obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów. Będą one musiały wprowadzać odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w odniesieniu do zarządzania ryzykiem. Równocześnie organy zarządzające tych podmiotów będą musiały zatwierdzać i nadzorować wdrażanie środków zarządzania ryzykiem w cyberbezpieczeństwie, a w razie niedopełnienia obowiązków ich członkowie będą mogli zostać pociągnięci do odpowiedzialności.

Podmioty kluczowe i ważne będą także zobowiązane informować właściwy CSIRT (lub inny organ) o zaistnieniu poważnego incydentu, w terminach ściśle określonych przez dyrektywę NIS 2. Na te podmioty będzie mógł również zostać nałożony obowiązek powiadomienia odbiorców swoich usług o wystąpieniu incydentu, a w szczególnych sytuacjach powiadomienia o samym poważnym cyberzagrożeniu.

Uprawnienia organów nadzorczych

Dyrektywa NIS 2 nadaje organom nadzorczym szeroki wachlarz uprawnień w zakresie kontroli i egzekwowania jej przepisów. Jednak szczegółowy katalog uprawnień organów nadzorczych będzie częściowo różnił się w zależności od tego, czy działania będą podejmowane wobec podmiotów kluczowych czy ważnych.

Do działań, które będą mogły być wdrożone zarówno wobec podmiotów kluczowych jak i ważnych, można zaliczyć m.in.:

  • wykonanie niezależnych i ukierunkowanych audytów bezpieczeństwa,
  • wnioskowanie o udzielenie informacji, dostępu do danych i dokumentów,
  • wydawanie nakazów zapewnienia zgodności z dyrektywą NIS 2 lub zaniechania określonego postępowania, a także
  • nakazanie wdrożenia zaleceń wydanych w wyniku audytu bezpieczeństwa.

Jednocześnie w odniesieniu do podmiotów kluczowych, jeżeli powyższe środki okażą się nieskuteczne, będzie istniała możliwość tymczasowego zawieszenia certyfikacji lub zezwolenia na usługi lub działalność prowadzoną przez dany podmiot, a także możliwość nałożenia tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie.

Kary pieniężne i sankcje karne

Dyrektywa NIS 2 wprowadza stosunkowo precyzyjne przepisy dotyczące obowiązku nakładania sankcji za naruszenie jej przepisów. Również w tym przypadku dochodzi do rozróżnienia zakresu kar i uprawnień nadzorczych w stosunku do podmiotów kluczowych oraz ważnych.

Na podmioty kluczowe, które naruszą zasady zarządzania ryzykiem lub zgłaszania incydentów, będzie mogła być nałożona administracyjna kara pieniężna w maksymalnej wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa. Sformułowanie to oznacza, że państwa będą dysponowały dużą swobodą przy ustalaniu „widełek” przyszłych kar, ale zawsze będzie musiała istnieć możliwość nałożenia sankcji w wysokości co najmniej 10 mln euro.

Bardzo podobne zasady będą dotyczyć podmiotów ważnych. Jednak w ich przypadku maksymalna wysokość kary będzie musiała wynosić co najmniej 7 mln euro lub 1,4% łącznego rocznego światowego obrotu.

W dyrektywie NIS 2 przewidziano także możliwość nakładania okresowych kar pieniężnych w celu przymuszenia podmiotu do zaprzestania naruszania przepisów dyrektywy, a państwom członkowskim przyznano możliwość wprowadzania sankcji karnych z tytułu naruszenia dyrektywy lub implementujących ją przepisów.

Sposób implementacji

Dyrektywa NIS 2 została przyjęta jako element harmonizacji minimalnej. W związku z tym państwa członkowskie będą mogły wprowadzić do przepisów ją implementujących obowiązki, które z niej bezpośrednio nie wynikają. Oznacza to, że w procesie wdrażania przepisów dyrektywy NIS 2 mogą pojawić się jeszcze istotne szczegóły i nowe obowiązki nakładane na podmioty krajowego systemu cyberbezpieczeństwa.

Dalsze analizy

Powyżej zasygnalizowaliśmy jedynie najważniejsze zagadnienia, które wiążą się z dyrektywą NIS 2. W kolejnych artykułach szczegółowo przeanalizujemy nowe regulacje, z uwzględnieniem następujących zagadnień:

  • zakres podmiotowy regulacji;
  • obowiązki w zakresie zarządzania ryzykiem;
  • obowiązki w zakresie zgłaszania incydentów;
  • uprawnienia organów nadzorczych;
  • kary i dodatkowe wymogi organizacyjne;
  • sposób implementacji i stosunek do innych regulacji z zakresu cyberbezpieczeństwa.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

[3] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającym rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

Chcesz wiedzieć więcej o dyrektywie NIS 2? Zajrzyj do naszych artykułów na temat:

  • zakresu podmiotowego regulacji – dostępny tutaj;
  • obowiązków w zakresie zarządzania ryzykiem – dostępny tutaj;
  • bezpieczeństwa łańcucha dostaw – dostępny tutaj;
  • obowiązków w zakresie zgłaszania incydentów – wkrótce dostępny;
  • uprawnień organów nadzorczych – wkrótce dostępny;
  • kar i dodatkowych wymogów organizacyjnych – wkrótce dostępny;
  • sposobu implementacji i stosunku do innych regulacji z zakresu cyberbezpieczeństwa – wkrótce dostępny.