Dyrektywa NIS2 to unijny akty prawny, który określa środki zarządzania ryzykiem oraz obowiązki w zakresie zgłaszania incydentów, które spoczywają na podmiotach działających w różnych branżach, które zostały wskazane w niniejszym akcie prawnym. Kancelaria świadczy obsługę prawną w obszarze cyberbezpieczeństwa na gruncie przepisów dyrektywy NIS2, w zakresie dostosowania do wymogów wynikających z niniejszego aktu prawnego.
Obowiązująca obecnie Dyrektywa NIS (Dyrektywa 2016/1148) stanowiła impuls do przyjęcia przez państwa członkowskie UE regulacji w zakresie bezpieczeństwa sieci i systemów informatycznych. Niemniej, rozwiązania prawne implementowane do polskiego porządku prawnego przepisami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, okazały się niewystarczające w dobie narastających cyberzagrożeń. Ponadto, istotne problemy związane z niejednolitą implementacją Dyrektywy NIS w państwach członkowskich UE, m.in. w zakresie kryteriów identyfikacji operatorów usług kluczowych, spowodowały, że konieczne stało się przyjęcie nowych rozwiązań.
Odpowiedzią na powyższe potrzeby jest Dyrektywa NIS 2 – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, która weszła w życia 16 stycznia 2023 r. Dyrektywa NIS 2 ustanawia nowe ramy prawne w zakresie cyberbezpieczeństwa UE i ma na celu zwiększenie cyberodporności UE m.in. poprzez wyeliminowanie rozbieżności pomiędzy przepisami krajowymi, ustanowienie mechanizmów współpracy pomiędzy państwami UE oraz rozszerzenie katalogu sektorów objętych przedmiotową regulacją.
Termin implementacji Dyrektywy NIS 2 do porządków krajowych upływa 17 października 2024 r., a począwszy od 18 października 2024 r. podmioty objęte dyrektywą będą musiały stosować nowe wymogi regulacyjne (zasadniczo pod warunkiem ich implementacji przez ustawodawcę krajowego), tego samego dnia uchylona zostanie Dyrektywa NIS.
Dyrektywa NIS 2 istotnie rozszerza katalog podmiotów objętych nowymi regulacjami wprowadzając podział na podmioty kluczowe i ważne,będące co do zasady, średnimi i dużymi przedsiębiorstwami,. Przepisy Dyrektywy NIS 2 będą miały zastosowanie do podmiotów publicznych lub prywatnych w rodzaju tych, o których mowa w załączniku I – wskazującym sektory kluczowe, lub załączniku II – obejmującym sektory ważne.
Do sektora kluczowego zakwalifikowano energetykę, transport, bankowość, infrastrukturę rynków finansowych, opiekę zdrowotną, wodę pitną, infrastrukturę cyfrową, oraz nowe sektory (w stosunku do dotychczasowych przepisów): ścieki, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczną.
W ramach sektora ważnego uwzględniono natomiast dostawców usług cyfrowych, jak również szereg nowych sektorów: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja, badania naukowe.
Ponadto, w przepisach dyrektywy wprost wskazano, które podmioty powinny zostać uznane za kluczowe (art. 3 Dyrektywy NIS 2). Są to m.in.:
Jednocześnie, podmioty prowadzące działalność w sektorach kluczowych i ważnych, które nie zostaną zakwalifikowane jako podmioty kluczowe, powinny zostać uznane za podmioty ważne.
Zmiany w NIS 2 są daleko idące i nie dotyczą jedynie rozszerzenia katalogu branż podlegających nowemu ustawodawstwu. Zwiększa się również wysokość kar nakładanych na podmioty, które nie wywiązują się z nałożonych na nie obowiązków.
Dyrektywa NIS 2 ponadto wyróżnia dwa typy podmiotów: podmioty kluczowe (essential entities) oraz podmioty (important entities).
Zakres podmiotowy ulega rozszerzeniu o: administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną.
Dyrektywa nakłada na organizacje szereg obowiązków, które dla wielu podmiotów – nieobjętych dotychczas przepisami Dyrektywy NIS i implementujących ją aktów krajowych – będą całkowicie nowymi wymaganiami. W szczególności należy zwrócić uwagę na konieczność:
Przepisy dyrektywy wprowadzają również szerokie uprawnienia kontrolne nadane organom nadzorczym, obejmujące takie działania jak: kontrola stacjonarna i zdalna, regularne ukierunkowane audyty, audyty doraźne, wydawanie ostrzeżeń oraz wiążących zaleceń. Ponadto umożliwiono zastosowanie administracyjnych kar pieniężnych w przypadku naruszenia obowiązków wynikających z przepisów Dyrektywy NIS 2.
Ważną nowością w stosunku do Dyrektywy NIS jest wprowadzenie zasad stosowania sankcji za działania niezgodne z nowymi przepisami, które mogą być wykorzystane niezależnie od uprawnień kontrolnych organów nadzoru. Dotychczasowe przepisy nie przewidywały szczegółowych regulacji w tym zakresie pozostawiając uregulowanie sankcji w gestii państw członkowskich. Ustawodawca unijny przewidział możliwość nakładania na podmioty kluczowe oraz podmioty ważne administracyjnych kar pieniężnych za naruszenie przepisów dotyczących zarządzania ryzykiem (art. 21) oraz zgłaszania incydentów (art. 23). Niemniej, dla wskazanych podmiotów ustalono odmienne wartości progowe nakładanych kar, i tak:
Dodatkowo Dyrektywa NIS 2 uprawnia państwa członkowskie do stosowania okresowych kar pieniężnych w celu przymuszenia podmiotu kluczowego lub ważnego do zaprzestania naruszenia przepisów.
Kluczem do wdrożenia rozwiązań wprowadzonych m.in. Dyrektywą NIS 2, a mających na celu zwiększenie odporności podmiotu na cyberzagrożenia jest uwzględnienie w procesie środowiska wewnętrznego i zewnętrznego organizacji, jej strategii biznesowej i ogólnego profilu ryzyka, w celu podjęcia działań proporcjonalnych do charakteru prowadzonej działalności – na proporcjonalność stosowanych środków wskazuje m.in. art. 21 ust. 1 Dyrektywy NIS 2. W procesie wdrożenia stosownych rozwiązań wewnętrznych warto uwzględnić następujące etapy w ramach planowanych działań:
Obowiązki przewidziane w Dyrektywie NIS 2 nie kończą się na etapie wdrożenia, konieczne będzie realizowanie szeregu działań bieżących związanych m.in. z doskonaleniem przyjętych ram, a także monitorowaniem i raportowaniem incydentów.
Prawnicy KRWLEGAL zapewniają kompleksowe doradztwo w zakresie cyberbezpieczeństwa, począwszy od przeprowadzenia audytów i identyfikacji luk do wdrażania polityk i regulacji wewnętrznych.
Zespół specjalistów prowadzi szkolenia w zakresie Dyrektywy NIS 2, zarówno dla kadry kierowniczej, jak i pracowników podmiotów zobowiązanych.
Ponadto prawnicy Kancelarii posiadają rozległe doświadczenie w zakresie reprezentacji Klientów przed polskimi organami regulacyjnymi, w szczególności przed Komisją Nadzoru Finansowego, w tym w zakresie spełnienia wymogów ustawy o krajowym systemie cyberbezpieczeństwa.
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP