Dyrektywa NIS 2: nowe zasady dla cyberbezpieczeństwa

Na początku 2023 roku weszła w życie dyrektywa NIS 2[1], która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS[2], zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa[3]. Mimo że termin implementacji dyrektywy NIS 2 upływa dopiero 17 października 2024 roku, a precyzyjny zakres regulacji w istotnym zakresie będzie zależał od decyzji polskiego ustawodawcy, to na wiele pytań związanych z przyszłymi obowiązkami możemy odpowiedzieć już teraz.
Co zmienia dyrektywa NIS 2?
Główną zmianą w stosunku do obecnej dyrektywy NIS jest znaczące rozszerzenie zakresu podmiotów objętych regulacjami, a także zrównanie obowiązków nakładanych na dwie główne grupy: podmioty kluczowe i ważne. Jest to istotne, ponieważ dotychczas obowiązki operatorów usług kluczowych oraz dostawców usług cyfrowych nie były jednolite i różniły się między sobą. Dyrektywa NIS 2 wprowadza również nowe możliwości egzekwowania przepisów. Unijny prawodawca uregulował też wymagania w zakresie nakładania administracyjnych kar pieniężnych, sankcji karnych oraz odpowiedzialności osób na stanowiskach zarządczych.
Co istotne, celem dyrektywy NIS 2 jest również zapewnienie spójności z nowymi przepisami sektorowymi. Mowa tu przede wszystkim o rozporządzeniu DORA[4], które stanowi lex specialis względem dyrektywy NIS 2 i reguluje ramy zarządzania ryzykiem i wzmacniania cyberbezpieczeństwa podmiotów finansowych (oraz podmiotów świadczących usługi ICT na rzecz podmiotów finansowych).
Podmioty objęte regulacją
Dyrektywa NIS 2 będzie miała zastosowanie do podmiotów publicznych oraz prywatnych, o których mowa w załączniku I lub II do dyrektywy. Są to jednostki, które świadczą usługi lub prowadzą działalność w UE i jednocześnie kwalifikują się jako średnie przedsiębiorstwa lub przekraczają pułapy dla średnich przedsiębiorstw.
W załączniku I jako sektory kluczowe wskazano:
- energetykę,
- transport,
- bankowość,
- infrastrukturę rynków finansowych,
- opiekę zdrowotną,
- sektor wody pitnej,
- ścieki,
- infrastrukturę cyfrową,
- zarządzanie usługami ICT,
- administrację publiczną,
- przestrzeń kosmiczną.
Natomiast w załączniku II wśród sektorów ważnych znalazły się takie sektory jak:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja, przetwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności,
- produkcja (szeroko pojęta),
- usługi cyfrowe,
- badania naukowe.
Zarządzanie ryzykiem i zgłaszanie incydentów
Na podmioty kluczowe i ważne zostaną nałożone jednakowe obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów. Będą one musiały wprowadzać odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w odniesieniu do zarządzania ryzykiem. Równocześnie organy zarządzające tych podmiotów będą musiały zatwierdzać i nadzorować wdrażanie środków zarządzania ryzykiem w cyberbezpieczeństwie, a w razie niedopełnienia obowiązków ich członkowie będą mogli zostać pociągnięci do odpowiedzialności.
Podmioty kluczowe i ważne będą także zobowiązane informować właściwy CSIRT (lub inny organ) o zaistnieniu poważnego incydentu, w terminach ściśle określonych przez dyrektywę NIS 2. Na te podmioty będzie mógł również zostać nałożony obowiązek powiadomienia odbiorców swoich usług o wystąpieniu incydentu, a w szczególnych sytuacjach powiadomienia o samym poważnym cyberzagrożeniu.
Uprawnienia organów nadzorczych
Dyrektywa NIS 2 nadaje organom nadzorczym szeroki wachlarz uprawnień w zakresie kontroli i egzekwowania jej przepisów. Jednak szczegółowy katalog uprawnień organów nadzorczych będzie częściowo różnił się w zależności od tego, czy działania będą podejmowane wobec podmiotów kluczowych czy ważnych.
Do działań, które będą mogły być wdrożone zarówno wobec podmiotów kluczowych jak i ważnych, można zaliczyć m.in.:
- wykonanie niezależnych i ukierunkowanych audytów bezpieczeństwa,
- wnioskowanie o udzielenie informacji, dostępu do danych i dokumentów,
- wydawanie nakazów zapewnienia zgodności z dyrektywą NIS 2 lub zaniechania określonego postępowania, a także
- nakazanie wdrożenia zaleceń wydanych w wyniku audytu bezpieczeństwa.
Jednocześnie w odniesieniu do podmiotów kluczowych, jeżeli powyższe środki okażą się nieskuteczne, będzie istniała możliwość tymczasowego zawieszenia certyfikacji lub zezwolenia na usługi lub działalność prowadzoną przez dany podmiot, a także możliwość nałożenia tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie.
Kary pieniężne i sankcje karne
Dyrektywa NIS 2 wprowadza stosunkowo precyzyjne przepisy dotyczące obowiązku nakładania sankcji za naruszenie jej przepisów. Również w tym przypadku dochodzi do rozróżnienia zakresu kar i uprawnień nadzorczych w stosunku do podmiotów kluczowych oraz ważnych.
Na podmioty kluczowe, które naruszą zasady zarządzania ryzykiem lub zgłaszania incydentów, będzie mogła być nałożona administracyjna kara pieniężna w maksymalnej wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa. Sformułowanie to oznacza, że państwa będą dysponowały dużą swobodą przy ustalaniu „widełek” przyszłych kar, ale zawsze będzie musiała istnieć możliwość nałożenia sankcji w wysokości co najmniej 10 mln euro.
Bardzo podobne zasady będą dotyczyć podmiotów ważnych. Jednak w ich przypadku maksymalna wysokość kary będzie musiała wynosić co najmniej 7 mln euro lub 1,4% łącznego rocznego światowego obrotu.
W dyrektywie NIS 2 przewidziano także możliwość nakładania okresowych kar pieniężnych w celu przymuszenia podmiotu do zaprzestania naruszania przepisów dyrektywy, a państwom członkowskim przyznano możliwość wprowadzania sankcji karnych z tytułu naruszenia dyrektywy lub implementujących ją przepisów.
Sposób implementacji
Dyrektywa NIS 2 została przyjęta jako element harmonizacji minimalnej. W związku z tym państwa członkowskie będą mogły wprowadzić do przepisów ją implementujących obowiązki, które z niej bezpośrednio nie wynikają. Oznacza to, że w procesie wdrażania przepisów dyrektywy NIS 2 mogą pojawić się jeszcze istotne szczegóły i nowe obowiązki nakładane na podmioty krajowego systemu cyberbezpieczeństwa.
Dalsze analizy
Powyżej zasygnalizowaliśmy jedynie najważniejsze zagadnienia, które wiążą się z dyrektywą NIS 2. W kolejnych artykułach szczegółowo przeanalizujemy nowe regulacje, z uwzględnieniem następujących zagadnień:
- zakres podmiotowy regulacji;
- obowiązki w zakresie zarządzania ryzykiem;
- obowiązki w zakresie zgłaszania incydentów;
- uprawnienia organów nadzorczych;
- kary i dodatkowe wymogi organizacyjne;
- sposób implementacji i stosunek do innych regulacji z zakresu cyberbezpieczeństwa.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
[3] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającym rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
Chcesz wiedzieć więcej o dyrektywie NIS 2? Zajrzyj do naszych artykułów na temat:
- zakresu podmiotowego regulacji – dostępny tutaj;
- obowiązków w zakresie zarządzania ryzykiem – dostępny tutaj;
- bezpieczeństwa łańcucha dostaw – dostępny tutaj;
- obowiązków w zakresie zgłaszania incydentów – wkrótce dostępny;
- uprawnień organów nadzorczych – wkrótce dostępny;
- kar i dodatkowych wymogów organizacyjnych – wkrótce dostępny;
- sposobu implementacji i stosunku do innych regulacji z zakresu cyberbezpieczeństwa – wkrótce dostępny.