KRWLEGAL rekomendowana w rankingu „Rzeczpospolita”

W dniu 16 grudnia 2020 roku Komisja Europejska opublikowała projekt dyrektywy w sprawie środków na rzecz wysokiego poziomu bezpieczeństwa sieci i systemów komunikacji na terytorium Unii i uchylenia dyrektywy EU 2016/1148 („Dyrektywa NIS 2”)

20 stycznia 2021

Wniosek Komisji Europejskiej w tym zakresie, skierowany do Parlamentu Europejskiego i Rady, stanowi część szerszego pakietu cyberbezpieczeństwa przyjętego przez Komisję, który obejmuje strategię UE w zakresie cyberbezpieczeństwa oraz nową dyrektywę w sprawie odporności podmiotów krytycznych.

Pakiet stanowi kluczowy element kształtowania cyfrowej odporności i zapewnienia bezpieczeństwa cyfrowego na rynku wewnętrznym UE. Ma na celu zapewnić obywatelom oraz firmom możliwość pełnego korzystania z wiarygodnych i sprawdzonych usług i narzędzi cyfrowych.

Warto wspomnieć, że proponowane rozwiązania legislacyjne wynikające z Dyrektywy NIS 2 będą komplementarne wobec tych wynikających z projektu rozporządzenia dotyczącego operacyjnej odporności cyfrowej („Digital Operational Resilience Act”), o którym pisaliśmy na naszej stronie internetowej.

Po co Dyrektywa NIS 2?

Dyrektywa EU 2016/1148 („Dyrektywa NIS”), która była pierwszym aktem prawnym w UE regulującym kwestię cyberbezpieczeństwa, przyczyniła się do wzrostu bezpieczeństwa cyfrowego na poziomie państw członkowskich UE nakładając na nie obowiązek przyjęcia narodowych strategii cyberbezpieczeństwa oraz wyznaczenia odpowiednich urzędów ds. cyberbezpieczeństwa. Realia ery cyfrowej oraz kryzys związany z pandemią COVID-19 wykazały jednak ograniczenia Dyrektywy NIS oraz potrzebę dalej idących, innowacyjnych rozwiązań.

Dyrektywa NIS 2 podobnie jak jej „poprzedniczka” ma na celu ochronę infrastruktury krytycznej. Rozszerza jednak swój zakres podmiotowy oraz nakłada na spółki obowiązki związane z zarządzaniem ryzykiem (ang. risk management approach).

Zakres podmiotowy Dyrektywy NIS 2

Projekt Dyrektywy NIS 2 rozszerza katalog podmiotów podlegających obowiązkom w zakresie cyberbezpieczeństwa. Nowa dyrektywa obejmie podmioty z sektora: energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej i przestrzeni kosmicznej.

Nowy akt wprowadza również jasne kryterium kwalifikacji dotyczące wielkości podmiotu, co oznacza że wszystkie średnie i duże przedsiębiorstwa będą podlegać nowym przepisom. Co do zasady mikro i małe przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE będą wyłączone z zakresu dyrektywy, z wyjątkiem dostawców sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej, dostawców usług zaufania, rejestrów nazw domen (TLD), administracji publicznej i niektórych innych podmiotów, takich jak wyłączny dostawca usługi w państwie członkowskim.

Projekt eliminuje również rozróżnienie między operatorami usług kluczowych, a dostawcami usług cyfrowych. Podmioty zostały sklasyfikowane w oparciu o ich znaczenie i włączone odpowiednio do kategorii: kluczowe (ang. essencial) albo ważne (ang. important), w wyniku czego będą podlegać różnym systemom nadzoru.

Kluczowe propozycje Dyrektywy NIS 2

  1. Na poziomie państw członkowskich

Dyrektywa NIS 2, podobnie jak poprzednia dyrektywa, nakłada na państwa członkowskie UE obowiązek przyjęcia krajowej strategii cyberbezpieczeństwa na rzecz zapewnienia odporności podmiotów krytycznych, określającej strategiczne cele oraz polityki działania. Zgodnie z art. 5 ust. 4 projektu, Państwa członkowskie powinny weryfikować swoje strategie dotyczące bezpieczeństwa cyfrowego co najmniej raz na cztery lata. W tym zakresie Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) powinna wspierać państwa członkowskie, na ich wniosek, w przygotowaniu stosownej strategii.

Państwa członkowskie będą zobowiązane do wprowadzenia krajowych ram zarządzania kryzysowego w zakresie cyberbezpieczeństwa, między innymi poprzez wyznaczenie krajowych właściwych organów odpowiedzialnych za zarządzanie incydentami i kryzysami cybernetycznymi na dużą skalę w zakresie ICT (ang. Information and Communication Technologies).

Oprócz właściwych organów krajowych, państwa członkowskie będą również zobowiązane do wyznaczenia tzw. Pojedynczego punktu kontaktowego ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego, tzw. CSIRTs (ang. Computer security incident response teams).

Rolą CSIRTs będzie zapewnianie bezpieczeństwa cyfrowego. Będą one monitorować i identyfikować zagrożenia oraz ryzyka dla cyberbezpieczeństwa, informować o potencjalnych zagrożeniach, czy reagować na incydenty. Jeden zespół CSIRT wyznaczony przez państwo członkowskie będzie również pełnił funkcję zaufanego pośrednika między podmiotami zgłaszającymi, a producentami lub dostawcami produktów ICT. Tam gdzie zgłoszone nieprawidłowości czy luki w zabezpieczeniach będą dotyczyły różnych producentów czy dostawców produktów lub usług ICT działających na terenie kilku państw członkowskich, wyznaczony zespół CSIRT powinien współpracować z tzw. siecią CSIRT (ang. CSIRT network).

ENISA będzie z kolei zobowiązana do utworzenia i prowadzenia europejskiego rejestru nieprawidłowości (ang. vulnerability registry). Będzie również odpowiedzialna za utworzenie oraz prowadzenie rejestru kluczowych i ważnych przedsiębiorstw (ang. essential and important entities registry).

  1. Na poziomie przedsiębiorstw

Dyrektywa NIS 2 ma na celu zapewnienie, że zarządy kluczowych i ważnych przedsiębiorstw mają świadomość zagrożeń dla ich bezpieczeństwa cyfrowego oraz, że podejmują proporcjonalne środki techniczne i organizacyjne zapobiegające naruszeniom oraz minimalizujące ryzyka dla bezpieczeństwa sieci i systemów informatycznych, z których korzystają przy świadczeniu swoich usług.

W tym celu, na mocy proponowanych przepisów, zarządy wyżej wymienionych przedsiębiorstw będą zobowiązane:

  • regularnie przechodzić określone szkolenia w celu zdobycia wiedzy i umiejętności rozpoznania i oceny ryzyka dla cyberbezpieczeństwa oraz skutecznego zarządzania ryzykiem,
  • wdrażać odpowiednie polityki, wytyczne oraz plany związane z zarządzaniem ryzykiem, jak również egzekwować ich realizację - za co będą odpowiedzialne.

Działania zarządów obejmują w szczególności:

  • przeprowadzanie analizy ryzyka oraz przygotowywanie polityk bezpieczeństwa systemu informatycznego,
  • obsługę incydentów (zapobieganie, wykrywanie i reagowanie na incydenty),
  • zapewnienie ciągłości działania i umiejętnego zarządzania kryzysowego,
  • zapewnienie bezpieczeństwa łańcucha dostaw,
  • zapewnienie bezpieczeństwa sieci i systemów informatycznych, konserwacja, w tym obsługa i ujawnianie słabych punktów,
  • działanie w oparciu o zasady i procedury (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem,
  • stosowanie kryptografii i szyfrowania.

Zgodnie z art. 20 projektu dyrektywy, na przedsiębiorstwa został także nałożony obowiązek raportowania właściwym organom lub zespołom CSIRT jakichkolwiek incydentów mających znaczący wpływ na świadczone przez nich usługi, lub potencjalnych zagrożeń które mogły mieć taki wpływ.

W tym kontekście należy także wskazać, że Dyrektywa NIS 2 w art. 31 przewiduje możliwość nałożenia kar administracyjnych na przedsiębiorstwa kluczowe oraz ważne, w przypadku naruszenia przez nie obowiązków nałożonych dyrektywą.

Podsumowanie

Bezpieczeństwo cyfrowe w całej Unii Europejskiej nie może zostać osiągnięte przy obecnych rozbieżnościach regulacyjnych na poziomie państw członkowskich. Niezbędna jest zatem interwencja UE, wykraczająca poza obecne ramy Dyrektywy NIS z uwagi na transgraniczny charakter problemu, jakim jest zagrożenie dla bezpieczeństwa cyfrowego. Proponowane przepisy mają na celu zapewnienie, by kluczowe podmioty dysponowały niezbędnymi zabezpieczeniami w celu zminimalizowania cyberataków i związanych z nimi ryzyk.

Dyrektywa NIS 2 jest obecnie konsultowana przez Radę Unii Europejskiej i Parlament Europejski, które uczestniczą w procesie legislacyjnym.

Projekt dyrektywy NIS 2 dostępny jest pod linkiem.

Autor apl. adw. Monika Łukacijewska

  • Kontakt

    ul. Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl


    www.krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn