KRWLEGAL rekomendowana w rankingach IFLR1000 2023 · Rzeczpospolita 2023 · The Legal 500

Projekt Dyrektywy NIS 2

W dniu 16 grudnia 2020 roku Komisja Europejska opublikowała projekt dyrektywy w sprawie środków na rzecz wysokiego poziomu bezpieczeństwa sieci i systemów komunikacji na terytorium Unii i uchylenia dyrektywy EU 2016/1148 („Dyrektywa NIS 2”)

20 stycznia 2021

Wniosek Komisji Europejskiej w tym zakresie, skierowany do Parlamentu Europejskiego i Rady, stanowi część szerszego pakietu cyberbezpieczeństwa przyjętego przez Komisję, który obejmuje strategię UE w zakresie cyberbezpieczeństwa oraz nową dyrektywę w sprawie odporności podmiotów krytycznych.

Pakiet stanowi kluczowy element kształtowania cyfrowej odporności i zapewnienia bezpieczeństwa cyfrowego na rynku wewnętrznym UE. Ma na celu zapewnić obywatelom oraz firmom możliwość pełnego korzystania z wiarygodnych i sprawdzonych usług i narzędzi cyfrowych.

Warto wspomnieć, że proponowane rozwiązania legislacyjne wynikające z Dyrektywy NIS 2 będą komplementarne wobec tych wynikających z projektu rozporządzenia dotyczącego operacyjnej odporności cyfrowej („Digital Operational Resilience Act”), o którym pisaliśmy na naszej stronie internetowej.

Po co Dyrektywa NIS 2?

Dyrektywa EU 2016/1148 („Dyrektywa NIS”), która była pierwszym aktem prawnym w UE regulującym kwestię cyberbezpieczeństwa, przyczyniła się do wzrostu bezpieczeństwa cyfrowego na poziomie państw członkowskich UE nakładając na nie obowiązek przyjęcia narodowych strategii cyberbezpieczeństwa oraz wyznaczenia odpowiednich urzędów ds. cyberbezpieczeństwa. Realia ery cyfrowej oraz kryzys związany z pandemią COVID-19 wykazały jednak ograniczenia Dyrektywy NIS oraz potrzebę dalej idących, innowacyjnych rozwiązań.

Dyrektywa NIS 2 podobnie jak jej „poprzedniczka” ma na celu ochronę infrastruktury krytycznej. Rozszerza jednak swój zakres podmiotowy oraz nakłada na spółki obowiązki związane z zarządzaniem ryzykiem (ang. risk management approach).

Zakres podmiotowy Dyrektywy NIS 2

Projekt Dyrektywy NIS 2 rozszerza katalog podmiotów podlegających obowiązkom w zakresie cyberbezpieczeństwa. Nowa dyrektywa obejmie podmioty z sektora: energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej i przestrzeni kosmicznej.

Nowy akt wprowadza również jasne kryterium kwalifikacji dotyczące wielkości podmiotu, co oznacza że wszystkie średnie i duże przedsiębiorstwa będą podlegać nowym przepisom. Co do zasady mikro i małe przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE będą wyłączone z zakresu dyrektywy, z wyjątkiem dostawców sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej, dostawców usług zaufania, rejestrów nazw domen (TLD), administracji publicznej i niektórych innych podmiotów, takich jak wyłączny dostawca usługi w państwie członkowskim.

Projekt eliminuje również rozróżnienie między operatorami usług kluczowych, a dostawcami usług cyfrowych. Podmioty zostały sklasyfikowane w oparciu o ich znaczenie i włączone odpowiednio do kategorii: kluczowe (ang. essencial) albo ważne (ang. important), w wyniku czego będą podlegać różnym systemom nadzoru.

Kluczowe propozycje Dyrektywy NIS 2

  1. Na poziomie państw członkowskich

Dyrektywa NIS 2, podobnie jak poprzednia dyrektywa, nakłada na państwa członkowskie UE obowiązek przyjęcia krajowej strategii cyberbezpieczeństwa na rzecz zapewnienia odporności podmiotów krytycznych, określającej strategiczne cele oraz polityki działania. Zgodnie z art. 5 ust. 4 projektu, Państwa członkowskie powinny weryfikować swoje strategie dotyczące bezpieczeństwa cyfrowego co najmniej raz na cztery lata. W tym zakresie Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) powinna wspierać państwa członkowskie, na ich wniosek, w przygotowaniu stosownej strategii.

Państwa członkowskie będą zobowiązane do wprowadzenia krajowych ram zarządzania kryzysowego w zakresie cyberbezpieczeństwa, między innymi poprzez wyznaczenie krajowych właściwych organów odpowiedzialnych za zarządzanie incydentami i kryzysami cybernetycznymi na dużą skalę w zakresie ICT (ang. Information and Communication Technologies).

Oprócz właściwych organów krajowych, państwa członkowskie będą również zobowiązane do wyznaczenia tzw. Pojedynczego punktu kontaktowego ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego, tzw. CSIRTs (ang. Computer security incident response teams).

Rolą CSIRTs będzie zapewnianie bezpieczeństwa cyfrowego. Będą one monitorować i identyfikować zagrożenia oraz ryzyka dla cyberbezpieczeństwa, informować o potencjalnych zagrożeniach, czy reagować na incydenty. Jeden zespół CSIRT wyznaczony przez państwo członkowskie będzie również pełnił funkcję zaufanego pośrednika między podmiotami zgłaszającymi, a producentami lub dostawcami produktów ICT. Tam gdzie zgłoszone nieprawidłowości czy luki w zabezpieczeniach będą dotyczyły różnych producentów czy dostawców produktów lub usług ICT działających na terenie kilku państw członkowskich, wyznaczony zespół CSIRT powinien współpracować z tzw. siecią CSIRT (ang. CSIRT network).

ENISA będzie z kolei zobowiązana do utworzenia i prowadzenia europejskiego rejestru nieprawidłowości (ang. vulnerability registry). Będzie również odpowiedzialna za utworzenie oraz prowadzenie rejestru kluczowych i ważnych przedsiębiorstw (ang. essential and important entities registry).

  1. Na poziomie przedsiębiorstw

Dyrektywa NIS 2 ma na celu zapewnienie, że zarządy kluczowych i ważnych przedsiębiorstw mają świadomość zagrożeń dla ich bezpieczeństwa cyfrowego oraz, że podejmują proporcjonalne środki techniczne i organizacyjne zapobiegające naruszeniom oraz minimalizujące ryzyka dla bezpieczeństwa sieci i systemów informatycznych, z których korzystają przy świadczeniu swoich usług.

W tym celu, na mocy proponowanych przepisów, zarządy wyżej wymienionych przedsiębiorstw będą zobowiązane:

  • regularnie przechodzić określone szkolenia w celu zdobycia wiedzy i umiejętności rozpoznania i oceny ryzyka dla cyberbezpieczeństwa oraz skutecznego zarządzania ryzykiem,
  • wdrażać odpowiednie polityki, wytyczne oraz plany związane z zarządzaniem ryzykiem, jak również egzekwować ich realizację - za co będą odpowiedzialne.

Działania zarządów obejmują w szczególności:

  • przeprowadzanie analizy ryzyka oraz przygotowywanie polityk bezpieczeństwa systemu informatycznego,
  • obsługę incydentów (zapobieganie, wykrywanie i reagowanie na incydenty),
  • zapewnienie ciągłości działania i umiejętnego zarządzania kryzysowego,
  • zapewnienie bezpieczeństwa łańcucha dostaw,
  • zapewnienie bezpieczeństwa sieci i systemów informatycznych, konserwacja, w tym obsługa i ujawnianie słabych punktów,
  • działanie w oparciu o zasady i procedury (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem,
  • stosowanie kryptografii i szyfrowania.

Zgodnie z art. 20 projektu dyrektywy, na przedsiębiorstwa został także nałożony obowiązek raportowania właściwym organom lub zespołom CSIRT jakichkolwiek incydentów mających znaczący wpływ na świadczone przez nich usługi, lub potencjalnych zagrożeń które mogły mieć taki wpływ.

W tym kontekście należy także wskazać, że Dyrektywa NIS 2 w art. 31 przewiduje możliwość nałożenia kar administracyjnych na przedsiębiorstwa kluczowe oraz ważne, w przypadku naruszenia przez nie obowiązków nałożonych dyrektywą.

Podsumowanie

Bezpieczeństwo cyfrowe w całej Unii Europejskiej nie może zostać osiągnięte przy obecnych rozbieżnościach regulacyjnych na poziomie państw członkowskich. Niezbędna jest zatem interwencja UE, wykraczająca poza obecne ramy Dyrektywy NIS z uwagi na transgraniczny charakter problemu, jakim jest zagrożenie dla bezpieczeństwa cyfrowego. Proponowane przepisy mają na celu zapewnienie, by kluczowe podmioty dysponowały niezbędnymi zabezpieczeniami w celu zminimalizowania cyberataków i związanych z nimi ryzyk.

Dyrektywa NIS 2 jest obecnie konsultowana przez Radę Unii Europejskiej i Parlament Europejski, które uczestniczą w procesie legislacyjnym.

Projekt dyrektywy NIS 2 dostępny jest pod linkiem.

Autor apl. adw. Monika Łukacijewska

Obowiązek publikowania informacji o realizowanej strategii podatkowej

22 stycznia 2021

Z dniem 1 stycznia 2021 r. weszła w życie ustawa zmieniająca przepisy ustawy o podatku dochodowym od osób fizycznych, ustawy o podatku dochodowym od osób prawnych, ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne oraz niektórych innych ustaw.

Podwyższenie wysokości jednostki udziałowej w spółdzielni - konsekwencje dla członków

21 stycznia 2021

Analiza mec. Krzysztofa Rożko dla Gazety Rzeczpospolita na temat konsekwencji podwyższenia wysokości jednostki udziałowej w spółdzielni dla jej członków

PARP

13 stycznia 2021

W dniu 13 stycznia 2021 r. ruszył nabór wniosków do kolejnej edycji konkursu „Badania na rynek” organizowanego przez Polską Agencje Rozwoju Przemysłu („PARP”).

Raport ESMA z wytycznymi w zakresie oceny ryzyka dźwigni finansowej AFI

12 stycznia 2021

W dniu 17 grudnia 2020 roku ESMA opublikowała raport końcowy w sprawie wytycznych w zakresie stosowania art. 25 Dyrektywy ZAFI.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.