Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem. Teraz ulegnie to zmianie, ponieważ dyrektywa NIS 2 wprowadza o wiele szersze i bardziej konkretne wymagania w zakresie środków zarządzania ryzykiem w cyberbezpieczeństwie.

Informacje wstępne

Dotychczasowa dyrektywa NIS i jej polska implementacja (ustawa o krajowym systemie cyberbezpieczeństwa) w sposób bardzo ogólny regulowały obowiązki w zakresie zarządzania ryzykiem. Co więcej, dotychczas

obowiązki te nie były jednolicie nakładane na wszystkie podmioty podlegające regulacji – inne obowiązki obejmowały operatorów usług kluczowych, a inne dostawców usług cyfrowych.

W dyrektywie NIS 2 podział ten został zlikwidowany, dzięki czemu obowiązki nakładane na podmioty kluczowe i ważne będą jednakowe. Różnić się za to będą możliwe do zastosowania kary oraz środki nadzoru, co opiszemy w kolejnych artykułach poświęconych dyrektywie NIS 2.

Środki zarządzania ryzykiem w cyberbezpieczeństwie

Po dokonaniu implementacji dyrektywy NIS 2, podmioty kluczowe i ważne (o tym, co to są podmioty kluczowe i ważne, można przeczytać tutaj) będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu:

  • zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty,
  • zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi.

Poziom bezpieczeństwa sieci i systemów powinien być odpowiedni do istniejącego ryzyka. Oznacza to, że przy dokonywaniu oceny proporcjonalności podejmowanych środków należy uwzględnić:

  1. stopień narażenia podmiotu na ryzyko;
  2. wielkość podmiotu;
  3. prawdopodobieństwo wystąpienia incydentów;
  4. prawdopodobną dotkliwość incydentów (w tym ich skutki społeczne i gospodarcze).

Właściwe środki zarządzania ryzykiem w cyberbezpieczeństwie powinny uwzględniać wszystkie zagrożenia i mieć na celu ochronę sieci i systemów informatycznych – w tym ich środowiska fizycznego – przed incydentami (art. 21 ust. 2 dyrektywy NIS 2). Powinny one obejmować co najmniej:

  1. politykę analizy ryzyka i bezpieczeństwa systemów;
  2. obsługę incydentu;
  3. ciągłość działania i zarządzanie kryzysowe;
  4. bezpieczeństwo łańcucha dostaw;
  5. bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów (w tym obsługi i ujawniania podatności);
  6. polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem;
  7. podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  8. polityki i procedury stosowania kryptografii (a w stosownych przypadkach również szyfrowania);
  9. i zarządzanie aktywami;
  10. w stosownych przypadkach również stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

W zakresie zapewnienia bezpieczeństwa łańcucha dostaw warto zauważyć, że podmioty kluczowe i ważne, wybierając właściwe środki zarządzania ryzykiem, powinny uwzględniać podatności charakterystyczne dla każdego bezpośredniego dostawcy (usługodawcy) oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa tych dostawców (usługodawców). Podmioty te powinny również brać pod uwagę wyniki skoordynowanych oszacowań ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, które zostaną przeprowadzone przez Grupę Współpracy – tj. specjalną grupę składającą się z przedstawicieli państw członkowskich, Komisji Europejskiej oraz ENISA.

Z kolei sposób zapewnienia bezpieczeństwa zasobów ludzkich i odpowiedniej polityki kontroli dostępu powinien być zgodny z przepisami dyrektywy 2022/2057[1] (motyw 79 dyrektywy NIS 2). Chodzi tu o tzw. dyrektywę CER, która została uchwalona i zacznie być stosowana równocześnie z dyrektywą NIS 2. Dyrektywa CER, co do zasady, reguluje zasady przeciwdziałania ryzykom innym niż cyberzagrożenia.

Sposób doprecyzowania wymogów technicznych

Mimo wprowadzenia znaczących zmian w stosunku do dotychczasowej dyrektywy NIS, dyrektywa NIS 2 wciąż kryje w sobie wiele niewiadomych. Trudno bowiem jednoznacznie stwierdzić, czym są właściwe środki uwzględniające przykładowo „politykę analizy ryzyka” lub „bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów”.

Wychodząc naprzeciw tym trudnościom, Komisja Europejska została zobowiązana do określenia wymogów technicznych i metodyk dotyczących opisanych powyżej środków zarządzania ryzykiem w cyberbezpieczeństwie (art. 21 ust. 5 dyrektywy NIS 2). Wymogi te będą musiały zostać wydane wobec wybranych podmiotów z sektorów infrastruktury cyfrowej, zarządzania usługami ICT oraz dostawców usług cyfrowych.

Do wybranych podmiotów z tych sektorów należą dostawcy:

  • usług DNS,
  • usług chmurowych,
  • usług ośrodka przetwarzania danych,
  • sieci dostarczania treści,
  • usług zarządzanych,
  • usług zarządzanych w zakresie bezpieczeństwa,
  • internetowych platform handlowych,
  • wyszukiwarek internetowych,
  • platform sieci społecznościowych,
  • dostawców usług zaufania,
  • a także rejestrów nazw TLD.

Wymogi te będą musiały zostać wydane do dnia poprzedzającego rozpoczęcie stosowania dyrektywy NIS 2, tj. do 17 października 2024 r.

Nie jest gwarantowane, że wskazana powyżej lista wymienia wszystkie podmioty, w stosunku do których zostaną doprecyzowane wymogi techniczne i metodyki. Wynika to z faktu, że dyrektywa NIS 2 przyznaje Komisji Europejskiej uprawnienie (ale już nie obowiązek) do określenia takich wymogów również w odniesieniu do innych podmiotów kluczowych i ważnych.

Odpowiedzialność i obowiązki organów zarządzających

Opisane powyżej środki zarządzania ryzykiem w cyberbezpieczeństwie będą musiały zostać zatwierdzone przez organy zarządzające podmiotów kluczowych i ważnych. Organy te będą również zobowiązane nadzorować ich wdrażanie, a także będą mogły być pociągnięte do odpowiedzialności za naruszanie przez te podmioty odpowiednich środków zarządzania ryzykiem (art. 20 ust. 1 dyrektywy NIS 2).

Co więcej, na członków organów zarządzających podmiotów kluczowych i ważnych zostanie nałożony obowiązek odbywania regularnych szkoleń. Ich celem ma być zdobycie wiedzy i umiejętności pozwalających rozpoznawać ryzyko i oceniać praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot. Państwa członkowskie UE powinny również zachęcać podmioty kluczowe i ważne do oferowania podobnych szkoleń swoim pracownikom (art. 20 ust. 2 dyrektywy NIS 2).

Jako że dyrektywa NIS 2 nie precyzuje pojęcia „organów zarządzających”, to do państw członkowskich UE będzie należała decyzja, na kim konkretnie będą spoczywały określone obowiązki. Tym samym aż do momentu implementacji dyrektywy NIS 2 nie będzie wiadomo, w jaki sposób zostaną zinterpretowane powyższe przepisy – czy zostaną one wdrożone „szeroko” (przykładowo nakładając obowiązki na cały zarząd spółki), czy też „wąsko” (nakładając obowiązki jedynie na członka zarządu odpowiedzialnego za kwestie bezpieczeństwa).

Europejskie programy certyfikacji cyberbezpieczeństwa

Państwa członkowskie UE, w celu wykazania zgodności opisanych powyżej środków zarządzania ryzykiem w cyberbezpieczeństwie z wymogami prawnymi, będą mogły wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, usług i procesów ICT certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa (w rozumieniu Aktu o cyberbezpieczeństwie[2]). Natomiast Komisja Europejska będzie uprawniona do określenia, od których kategorii podmiotów należy wymagać stosowania certyfikowanych produktów, usług i procesów ICT (art. 24 dyrektywy NIS 2).

Należy jednak zauważyć, że do czasu publikacji tego artykułu nie zostały przyjęte żadne z europejskich programów certyfikacji cyberbezpieczeństwa, a w Polsce w dalszym ciągu nie przyjęto przepisów, które umożliwiłyby stosowanie większości postanowień Aktu o cyberbezpieczeństwie. Otwarte pozostaje więc pytanie, czy do dnia rozpoczęcia stosowania dyrektywy NIS 2 zostaną przyjęte jakiekolwiek europejskie programy certyfikacji cyberbezpieczeństwa. Jeśli nie, przepisy dotyczące stosowania certyfikowanych produktów, usług i procesów ICT mogą mieć jedynie iluzoryczny charakter.

Warto również wskazać, że państwa członkowskie UE nie będą mogły narzucać ani faworyzować określonego rodzaju technologii wykorzystywanych przy zarządzaniu ryzykiem. Zamiast tego powinny zachęcać do stosowania europejskich i międzynarodowych norm i specyfikacji (art. 25 dyrektywy NIS 2).

Stosowanie norm i specyfikacji

Warto zatem zastanowić się, czym są „europejskie i międzynarodowe normy i specyfikacje”, które pozwolą zapewnić zgodność wdrażanych środków zarządzania ryzykiem w cyberbezpieczeństwie z odpowiednimi wymogami prawnymi. Mimo że różnego rodzaju norm, standardów i specyfikacji dotykających problematyki cyberbezpieczeństwa jest bardzo wiele, to wśród tych cieszących się największym uznaniem należy wymienić przede wszystkim normy i standardy przygotowywane przez międzynarodową organizację ISO (International Organization for Standardization) oraz przez amerykański NIST (National Institute of Standards and Technology).

Wśród norm ISO warto zwrócić uwagę na normy z serii ISO/IEC 27000, które zostały wskazane jako przykład odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie bezpośrednio w dyrektywie NIS 2 (motyw 79). Wśród norm z serii ISO/IEC 27000 znajdują się zarówno normy o charakterze bardziej ogólnym, obejmującym większość zagadnień dotyczących cyberbezpieczeństwa (jak np. norma ISO/IEC 27002), jak również normy o charakterze bardziej szczegółowym, doprecyzowującym określone zagadnienia (jak np. norma ISO/IEC 27017, która skupia się na cyberbezpieczeństwie usług chmurowych).

Natomiast wśród standardów NIST należy zwrócić uwagę przede wszystkim na standard NIST SP 800-53 (Rev. 5), który podobnie jak norma ISO/IEC 27002 dotyczy większości zagadnień z obszaru cyberbezpieczeństwa. Podobnie jak w przypadku norm ISO, również tutaj zostało wydanych wiele dodatkowych standardów, które w sposób bardziej szczegółowy normują poszczególne zagadnienia, np. standard NIST SP 800-61 (Rev. 2) dotyczy sposobu obsługi incydentów cyberbezpieczeństwa. Warto również zauważyć, że to właśnie na bazie standardów NIST zostały opracowywane Narodowe Standardy Cyberbezpieczeństwa.

Wdrożenie odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie w oparciu o normy ISO lub standardy NIST powinno być niezależną decyzją każdego podmiotu, podjętą po przeanalizowaniu charakteru oraz zalet i wad każdego z tych rozwiązań. Nie ulega jednak wątpliwości, że prawidłowe wdrożenie rekomendowanych przez normy ISO lub standardy NIST środków zarządzania ryzykiem w cyberbezpieczeństwie pomoże w należytym wykazaniu zgodności danej organizacji z przepisami dyrektywy NIS 2.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE.

[2] rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013.

Chcesz wiedzieć więcej o dyrektywie NIS 2?

Zajrzyj do naszych artykułów na temat:

  • ogólnych zasad wynikających z regulacji – dostępny tutaj;
  • zakresu podmiotowego regulacji – dostępny tutaj;
  • bezpieczeństwa łańcucha dostaw – dostępny tutaj;
  • obowiązków w zakresie zgłaszania incydentów – wkrótce dostępny;
  • uprawnień organów nadzorczych – wkrótce dostępny;
  • kar i dodatkowych wymogów organizacyjnych – wkrótce dostępny;
  • sposobu implementacji i stosunku do innych regulacji z zakresu cyberbezpieczeństwa – wkrótce dostępny.