KRWLEGAL rekomendowana w rankingach IFLR1000 2023 · Rzeczpospolita 2024 · The Legal 500

Dyrektywa NIS 2

Dyrektywa NIS2 to unijny akty prawny, który określa środki zarządzania ryzykiem oraz obowiązki w zakresie zgłaszania incydentów, które spoczywają na podmiotach działających w różnych branżach, które zostały wskazane w niniejszym akcie prawnym. Kancelaria świadczy obsługę prawną w obszarze cyberbezpieczeństwa na gruncie przepisów dyrektywy NIS2, w zakresie dostosowania do wymogów wynikających z niniejszego aktu prawnego.

Zakres regulacyjny Dyrektywy NIS 2

Obowiązująca obecnie Dyrektywa NIS (Dyrektywa 2016/1148) stanowiła impuls do przyjęcia przez państwa członkowskie UE regulacji w zakresie bezpieczeństwa sieci i systemów informatycznych. Niemniej, rozwiązania prawne implementowane do polskiego porządku prawnego przepisami ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, okazały się niewystarczające w dobie narastających cyberzagrożeń. Ponadto, istotne problemy związane z niejednolitą implementacją Dyrektywy NIS w państwach członkowskich UE, m.in. w zakresie kryteriów identyfikacji operatorów usług kluczowych, spowodowały, że konieczne stało się przyjęcie nowych rozwiązań.

Odpowiedzią na powyższe potrzeby jest Dyrektywa NIS 2 – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, która weszła w życia 16 stycznia 2023 r. Dyrektywa NIS 2 ustanawia nowe ramy prawne w zakresie cyberbezpieczeństwa UE i ma na celu zwiększenie cyberodporności UE m.in. poprzez wyeliminowanie rozbieżności pomiędzy przepisami krajowymi, ustanowienie mechanizmów współpracy pomiędzy państwami UE oraz rozszerzenie katalogu sektorów objętych przedmiotową regulacją.

Termin implementacji Dyrektywy NIS 2 do porządków krajowych upływa 17 października 2024 r., a począwszy od 18 października 2024 r. podmioty objęte dyrektywą będą musiały stosować nowe wymogi regulacyjne (zasadniczo pod warunkiem ich implementacji przez ustawodawcę krajowego), tego samego dnia uchylona zostanie Dyrektywa NIS.

Jakie podmioty obejmuje dyrektywa NIS 2?

Dyrektywa NIS 2 istotnie rozszerza katalog podmiotów objętych nowymi regulacjami wprowadzając podział na podmioty kluczowe i ważne,będące co do zasady, średnimi i dużymi przedsiębiorstwami,. Przepisy Dyrektywy NIS 2 będą miały zastosowanie do podmiotów publicznych lub prywatnych w rodzaju tych, o których mowa w załączniku I – wskazującym sektory kluczowe, lub załączniku II – obejmującym sektory ważne.

Do sektora kluczowego zakwalifikowano energetykę, transport, bankowość, infrastrukturę rynków finansowych, opiekę zdrowotną, wodę pitną, infrastrukturę cyfrową, oraz nowe sektory (w stosunku do dotychczasowych przepisów): ścieki, zarządzanie usługami ICT, podmioty administracji publicznej, przestrzeń kosmiczną.

W ramach sektora ważnego uwzględniono natomiast dostawców usług cyfrowych, jak również szereg nowych sektorów: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja, badania naukowe.

Ponadto, w przepisach dyrektywy wprost wskazano, które podmioty powinny zostać uznane za kluczowe (art. 3 Dyrektywy NIS 2). Są to m.in.:

  1. podmioty, o których mowa w załączniku I, przekraczające pułapy dla średnich przedsiębiorstw;
  2. kwalifikowani dostawcy usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawcy usług DNS, niezależnie od ich wielkości;
  3. dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej, którzy kwalifikują się jako średnie przedsiębiorstwa;
  4. podmioty administracji publicznej na poziomie rządu centralnego.

Jednocześnie, podmioty prowadzące działalność w sektorach kluczowych i ważnych, które nie zostaną zakwalifikowane jako podmioty kluczowe, powinny zostać uznane za podmioty ważne.

Co zmienia dyrektywa NIS 2?

Zmiany w NIS 2 są daleko idące i nie dotyczą jedynie rozszerzenia katalogu branż podlegających nowemu ustawodawstwu. Zwiększa się również wysokość kar nakładanych na podmioty, które nie wywiązują się z nałożonych na nie obowiązków.

Dyrektywa NIS 2 ponadto wyróżnia dwa typy podmiotów: podmioty kluczowe (essential entities) oraz podmioty (important entities).

Zakres podmiotowy ulega rozszerzeniu o: administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną.

Dyrektywa nakłada na organizacje szereg obowiązków, które dla wielu podmiotów – nieobjętych dotychczas przepisami Dyrektywy NIS i implementujących ją aktów krajowych – będą całkowicie nowymi wymaganiami. W szczególności należy zwrócić uwagę na konieczność:

  1. wdrożenia mechanizmów analizy i zarządzania ryzykiem,
  2. przyjęcia dokumentacji wewnętrznej dotyczącej zarządzania ryzykiem, takiej jak: polityka bezpieczeństwa systemów informatycznych, polityka ciągłości działania,
  3. obsługi i zgłaszania incydentów, jak również komunikacji z klientami (odbiorcami usług) w przypadku wystąpienia incydentu lub znaczących cyberzagrożeń.

Przepisy dyrektywy wprowadzają również szerokie uprawnienia kontrolne nadane organom nadzorczym, obejmujące takie działania jak: kontrola stacjonarna i zdalna, regularne ukierunkowane audyty, audyty doraźne, wydawanie ostrzeżeń oraz wiążących zaleceń. Ponadto umożliwiono zastosowanie administracyjnych kar pieniężnych w przypadku naruszenia obowiązków wynikających z przepisów Dyrektywy NIS 2.

Kary za niedostosowanie się do przepisów NIS 2

Ważną nowością w stosunku do Dyrektywy NIS jest wprowadzenie zasad stosowania sankcji za działania niezgodne z nowymi przepisami, które mogą być wykorzystane niezależnie od uprawnień kontrolnych organów nadzoru. Dotychczasowe przepisy nie przewidywały szczegółowych regulacji w tym zakresie pozostawiając uregulowanie sankcji w gestii państw członkowskich. Ustawodawca unijny przewidział możliwość nakładania na podmioty kluczowe oraz podmioty ważne administracyjnych kar pieniężnych za naruszenie przepisów dotyczących zarządzania ryzykiem (art. 21) oraz zgłaszania incydentów (art. 23). Niemniej, dla wskazanych podmiotów ustalono odmienne wartości progowe nakładanych kar, i tak:

  1. Podmioty kluczowe mogą podlegać administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2% łącznego rocznego światowego obrotu przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa.
  2. Podmioty ważne mogą podlegać administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa.

Dodatkowo Dyrektywa NIS 2 uprawnia państwa członkowskie do stosowania okresowych kar pieniężnych w celu przymuszenia podmiotu kluczowego lub ważnego do zaprzestania naruszenia przepisów.

Jakie działania musi podjąć organizacja w związku z dyrektywą NIS 2

Kluczem do wdrożenia rozwiązań wprowadzonych m.in. Dyrektywą NIS 2, a mających na celu zwiększenie odporności podmiotu na cyberzagrożenia jest uwzględnienie w procesie środowiska wewnętrznego i zewnętrznego organizacji, jej strategii biznesowej i ogólnego profilu ryzyka, w celu podjęcia działań proporcjonalnych do charakteru prowadzonej działalności – na proporcjonalność stosowanych środków wskazuje m.in. art. 21 ust. 1 Dyrektywy NIS 2. W procesie wdrożenia stosownych rozwiązań wewnętrznych warto uwzględnić następujące etapy w ramach planowanych działań:

  1. Rozpoznanie ram regulacyjnych – w pierwszej kolejności dany podmiot powinien ustalić, które regulacje mogą znaleźć do niego zastosowanie, tj. czy jest on objęty zakresem podmiotowym i przedmiotowym danych przepisów.
  2. Przegląd zasobów oraz dokumentacji wewnętrznej – w ramach tego etapu należy zidentyfikować posiadane zasoby, kontekst organizacyjny, posiadaną dokumentację wewnętrzną oraz łańcuchy dostaw.
  3. Identyfikacja braków – podmioty objęte nowymi regulacjami powinny zidentyfikować obszary wymagające podjęcia działań dostosowawczych.
  4. Przyjęcie dokumentacji wewnętrznej – jest to potencjalnie najbardziej czasochłonny etap wdrożenia, który obejmuje opracowanie dokumentacji wewnętrznej, w tym aktualizację posiadanych procedur i strategii.

Obowiązki przewidziane w Dyrektywie NIS 2 nie kończą się na etapie wdrożenia, konieczne będzie realizowanie szeregu działań bieżących związanych m.in. z doskonaleniem przyjętych ram, a także monitorowaniem i raportowaniem incydentów.

Prawnicy KRWLEGAL zapewniają kompleksowe doradztwo w zakresie cyberbezpieczeństwa, począwszy od przeprowadzenia audytów i identyfikacji luk do wdrażania polityk i regulacji wewnętrznych.

Zespół specjalistów prowadzi szkolenia w zakresie Dyrektywy NIS 2, zarówno dla kadry kierowniczej, jak i pracowników podmiotów zobowiązanych.

Ponadto prawnicy Kancelarii posiadają rozległe doświadczenie w zakresie reprezentacji Klientów przed polskimi organami regulacyjnymi, w szczególności przed Komisją Nadzoru Finansowego, w tym w zakresie spełnienia wymogów ustawy o krajowym systemie cyberbezpieczeństwa.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn