Uprawnienia organów nadzorczych na gruncie dotychczasowej dyrektywy NIS oraz jej polskiej implementacji – ustawy o krajowym systemie cyberbezpieczeństwa – były bardzo ograniczone. Duże zmiany w tej materii wprowadza dyrektywa NIS 2, która przyznaje organom nadzoru bardzo szeroki katalog środków mających wspomagać skuteczne wdrażanie nowych przepisów z zakresu cyberbezpieczeństwa.

Dyrektywa NIS 2 nakłada na państwa członkowskie obowiązek zapewnienia, aby wyznaczone do tego organy monitorowały przestrzeganie tej dyrektywy – a w konsekwencji również implementujących ją przepisów prawa krajowego – i stosowały środki niezbędne do zagwarantowania tego przestrzegania. Organy te powinny cechować się niezależnością i posiadać odpowiednie uprawnienia – w szczególności związane z możliwością nałożenia odpowiednich, proporcjonalnych i skutecznych środków nadzoru na podmioty kluczowe i ważne, a także ich skutecznego egzekwowania (art. 31 ust. 1 i 4 dyrektywy NIS 2). Natomiast podejmowane środki powinny być skuteczne, proporcjonalne i odstraszające, stosownie do okoliczności każdego indywidualnego przypadku (art. 32 ust. 1 dyrektywy NIS 2).

Warto przy tym zaznaczyć, że o ile środki zarządzania ryzykiem, jakie powinny być wdrożone przez podmioty ważne i kluczowe na gruncie dyrektywy NIS 2 są tożsame, o tyle już środki nadzoru, jakie mogą być zastosowane wobec podmiotów ważnych i kluczowych, a także sposoby egzekwowania tych środków wobec nich, są różne – bardziej restrykcyjne wobec podmiotów kluczowych. 

W zakresie uprawnień nadzorczych wobec podmiotów kluczowych, właściwe organy będą uprawnione do objęcia tych podmiotów co najmniej (art. 32 ust. 2 dyrektywy NIS 2):

  1. kontrolami na miejscu i nadzorem zdalnym –w tym wyrywkowymi kontrolami prowadzonymi przez przeszkolonych specjalistów;
  2. regularnymi ukierunkowanymi audytami bezpieczeństwa – prowadzonymi przez niezależną instytucję lub właściwy organ na koszt podmiotu poddawanego audytowi;
  3. audytami doraźnymi – zwłaszcza w związku z wystąpieniem poważnego incydentu lub z naruszeniem dyrektywy;
  4. skanami bezpieczeństwa – opartymi o obiektywne, niedyskryminacyjne, sprawiedliwe i przejrzyste kryteria szacowania ryzyka;
  5. wnioskami o udzielenie informacji – które są niezbędne do oceny podjętych środków zarządzania ryzykiem w cyberbezpieczeństwie (w tym udokumentowanej polityki cyberbezpieczeństwa);
  6. wnioskami o udzielenie dostępu do danych, dokumentów i informacji – które są konieczne do wykonywania zadań nadzorczych;
  7. wnioskami o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa – np. wyników audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora.

Wykonując uprawnienia, które dotyczą wnioskowania o udzielenie informacji, udzielenia dostępu do danych, dokumentów i informacji, a także przedstawienia dowodów realizacji polityki bezpieczeństwa, właściwe organy będą musiały podać cel wniosku i określić informacje, o które wnoszą (art. 32 ust. 3 dyrektywy NIS 2).

W zakresie uprawnień dotyczących egzekwowania przepisów wobec podmiotów kluczowych, właściwe organy będą uprawnione co najmniej do (art. 32 ust. 4 dyrektywy NIS 2):

  1. wydawania ostrzeżeń dotyczących naruszeń dyrektywy;
  2. wydawania wiążących poleceń – w tym dotyczących: środków niezbędnych do zapobieżenia incydentowi lub usunięcia jego skutków, określenia terminów wdrożenia takich środków i zgłoszenia ich wdrożenia, naprawiania uchybień lub usuwania naruszeń dyrektywy;
  3. nakazania zaniechania postępowania naruszającego dyrektywę;
  4. nakazania zapewnienia zgodność swoich środków zarządzania ryzykiem w cyberbezpieczeństwie lub wypełniania obowiązków zgłaszania incydentów;
  5. nakazania poinformowania osób fizycznych lub prawnych, których potencjalnie dotyczy poważne cyberzagrożenie, o charakterze tego zagrożenia oraz o możliwych środkach ochronnych lub naprawczych;
  6. nakazania wdrożenia zaleceń wydanych w wyniku audytu bezpieczeństwa;
  7. wyznaczenia urzędnika monitorującego – do nadzorowania przestrzegania środków zarządzania ryzykiem w cyberbezpieczeństwie lub wypełniania obowiązków zgłaszania incydentów;
  8. nakazania podania do wiadomości publicznej informacji o naruszeniach dyrektywy;
  9. nałożenia lub zwrócenia się o nałożenie administracyjnych kar pieniężnych przez właściwe instytucje – niezależnie od powyższych środków.

Jeżeli mimo wyznaczenia podmiotom kluczowym dodatkowego terminu na ich realizację, działania wskazane w punktach 1-4 oraz 6 okażą się nieskuteczne, organy nadzorcze będą również uprawnione do:

  1. tymczasowego zawieszenia certyfikacji lub zezwolenia na niektóre lub wszystkie świadczone usługi bądź na część lub całość działalności prowadzonej przez podmiot kluczowy (lub zwrócenia się z takich wnioskiem do właściwego podmiotu);
  2. zwrócenia się do właściwego podmiotu o nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie kluczowym – na osobę wykonującą obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego.

Środki te będą stosowane do czasu, gdy dany podmiot podejmie działania niezbędne do usunięcia uchybień lub spełnienia odpowiednich wymogów. Państwa członkowskie będą musiały również zapewnić, aby każda osoba fizyczna odpowiedzialna za podmiot kluczowy lub działająca w charakterze przedstawiciela prawnego tego podmiotu była uprawniona do zapewnienia przestrzegania przez ten podmiot dyrektywy NIS 2. Wiąże się to z koniecznością zapewniają, aby osoby te mogły być pociągnięte do odpowiedzialności za niewywiązanie się z obowiązku zapewnienia jej przestrzegania (art. 32 ust. 5-6 dyrektywy NIS 2).

Jeżeli właściwe podmioty otrzymają informację, że podmiot ważny rzekomo nie stosuje się do dyrektywy NIS 2, będą one uprawnione do podjęcia określonych działań następczych (ex post). W zakresie uprawnień nadzorczych wobec podmiotów ważnych, właściwe organy będą uprawnione do objęcia tych podmiotów co najmniej (art. 33 ust. 1-2 dyrektywy NIS 2):

  1. kontrolami na miejscu i nadzorem zdalnym ex post –prowadzonymi przez przeszkolonych specjalistów;
  2. ukierunkowanymi audytami bezpieczeństwa – prowadzonymi przez niezależną instytucję lub właściwy organ na koszt podmiotu poddawanego audytowi;
  3. skanami bezpieczeństwa – opartymi o obiektywne, niedyskryminacyjne, sprawiedliwe i przejrzyste kryteria szacowania ryzyka;
  4. wnioskami o udzielenie informacji – które są niezbędne do oceny ex post podjętych środków zarządzania ryzykiem w cyberbezpieczeństwie (w tym udokumentowanej polityki cyberbezpieczeństwa);
  5. wnioskami o udzielenie dostępu do danych, dokumentów i informacji – które są konieczne do wykonywania zadań nadzorczych;
  6. wnioskami o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa – np. wyników audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora.

Tak samo jak w przypadku podmiotów kluczowych, wykonując uprawnienia, które dotyczą wnioskowania o udzielenie informacji, udzielenia dostępu do danych, dokumentów i informacji, a także przedstawienia dowodów realizacji polityki bezpieczeństwa, właściwe organy będą musiały podać cel wniosku i określić informacje, o które wnoszą (art. 32 ust. 3 dyrektywy NIS 2).

W zakresie uprawnień dotyczących egzekwowania przepisów wobec podmiotów ważnych, właściwe organy będą uprawnione co najmniej do (art. 32 ust. 4 dyrektywy NIS 2):

  1. wydawania ostrzeżeń dotyczących naruszeń dyrektywy;
  2. wydawania wiążących poleceń lub nakazów – dążących do naprawienia stwierdzonych uchybień lub usunięcia naruszenia dyrektywy;
  3. nakazania zaniechania postępowania naruszającego dyrektywę;
  4. nakazania zapewnienia zgodność swoich środków zarządzania ryzykiem w cyberbezpieczeństwie lub wypełniania obowiązków zgłaszania incydentów;
  5. nakazania poinformowania osób fizycznych lub prawnych, których potencjalnie dotyczy poważne cyberzagrożenie, o charakterze tego zagrożenia oraz o możliwych środkach ochronnych lub naprawczych;
  6. nakazania wdrożenia zaleceń wydanych w wyniku audytu bezpieczeństwa;
  7. wyznaczenia urzędnika monitorującego – do nadzorowania przestrzegania środków zarządzania ryzykiem w cyberbezpieczeństwie lub wypełniania obowiązków zgłaszania incydentów;
  8. nakazania podania do wiadomości publicznej informacji o naruszeniach dyrektywy;
  9. nałożenia lub zwrócenia się o nałożenie administracyjnych kar pieniężnych przez właściwe instytucje – niezależnie od powyższych środków.

W odróżnieniu od podmiotów kluczowych, dyrektywa NIS 2 nie przewiduje możliwości tymczasowego zawieszenia certyfikacji lub zezwolenia, ani zwrócenia się do właściwego podmiotu o nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w podmiocie ważnym. Nie oznacza to jednak, że podobne uprawnienia nie będą mogły być wdrożone przez państwa członkowskie w toku implementacji dyrektywy NIS 2 przez polskiego ustawodawcę.

Przyjmując którykolwiek ze środków opisanych powyżej, właściwe organy będą musiały przestrzegać prawa do obrony oraz brać pod uwagę okoliczności każdego indywidualnego przypadku. Stosując środki egzekucyjne, będą one musiały uwzględnić co najmniej:

  1. wagę naruszenia i znaczenie naruszonych przepisów, przy czym za poważne naruszenia będą zawsze uważane:
  2. powtarzające się naruszenia,
  3. niezgłoszenie lub nieusunięcie poważnych incydentów,
  4. nieusunięcie uchybień zgodnie z wiążącymi nakazami właściwych organów,
  5. utrudnianie prowadzenia audytów lub działań monitorujących nakazanych przez właściwy organ po stwierdzeniu naruszenia,
  6. dostarczanie nieprawdziwych lub rażąco niedokładnych informacji w odniesieniu do środków zarządzania ryzykiem w cyberbezpieczeństwie lub obowiązków zgłaszania incydentów,
  7. czas trwania naruszenia;
  8. istotne wcześniejsze naruszenia ze strony danego podmiotu;
  9. spowodowane szkody majątkowe i niemajątkowe – w tym straty finansowe lub gospodarcze, wpływ na inne usługi i liczbę użytkowników, których dotyka incydent;
  10. umyślny lub nieumyślny charakter czynu ze strony sprawcy naruszenia;
  11. środki zastosowane przez podmiot, aby zapobiec szkodom majątkowym i niemajątkowym lub je ograniczyć;
  12. stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;
  13. stopień współpracy odpowiedzialnych osób fizycznych lub prawnych z właściwymi organami.

Przed zastosowaniem środków egzekucyjnych właściwe organy będą musiały powiadomić zainteresowane podmioty o swoich wstępnych ustaleniach, dając im rozsądny czas na przedstawienie uwag. Jedynie w należycie uzasadnionych przypadkach, gdy utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom lub reakcji na nie, będzie można odstąpić od takiego działania.