Dyrektywa NIS 2-nowe obowiązki dla firm

Dyrektywa NIS 2 rozwiązuje ograniczenia, które występowały w dyrektywie NIS, takie jak brak wytycznych dotyczących ochrony przed incydentami związanymi z cyberbezpieczeństwem i reagowania na nie. Uznając poważne konsekwencje zagrożeń cybernetycznych, UE stale pracuje nad swoją polityką bezpieczeństwa cybernetycznego od czasu zaproponowania dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS), wydanej 6 lipca 2016 r. Poprzez aktualizację dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS) Parlament Europejski poszerzył zakres, który będzie objęty proponowaną dyrektywą NIS 2, usuwając tym samym dyrektywę z 2016 r.

NIS 2 ma na celu zastąpienie i wzmocnienie istniejącej dyrektywy UE w sprawie sieci i społeczeństwa informacyjnego (dyrektywa NIS) i ma zastosowanie do niektórych krytycznych i istotnych podmiotów działających w określonym wykazie sektorów, w tym podmiotów ogólnie uznawanych za infrastrukturę krytyczną.

Dyrektywa NIS określa minimalne standardy bezpieczeństwa sieci i systemów informatycznych oraz wymogi sprawozdawcze dla państw członkowskich UE, a także definiuje operatorów usług kluczowych (OES) i dostawców powiązanych usług cyfrowych (RDSP).

W poprzedniej dyrektywie NIS państwa członkowskie były odpowiedzialne za określenie, które podmioty spełniałyby kryteria kwalifikujące je jako operatorów usług podstawowych, w nowej dyrektywie NIS 2 wprowadzono zasadę dotyczącą limitu zakresu jako ogólną zasadę identyfikacji podmiotów objętych dyrektywą.

Wprowadzenie oznacza, że wszystkie średnie i większe podmioty działające w sektorze lub świadczące usługi objęte dyrektywą zostaną nią objęte. Proponowana dyrektywa NIS 2 wzmacnia również wymogi dotyczące bezpieczeństwa cybernetycznego dla średnich i dużych podmiotów działających w sektorach krytycznych i świadczących usługi. Dyrektywa NIS 2 wprowadza nowe przepisy, które promują zwiększony wspólny standard bezpieczeństwa cybernetycznego w całej UE-zarówno dla przedsiębiorstw, jak i państw.

Unia Europejska przyjęła nową dyrektywę w sprawie cyberbezpieczeństwa, która zamierza zwiększyć odporność na cyberbezpieczeństwo i reagowanie na incydenty w wielu sektorach. NIS 2 jest ważnym nowym aktem prawnym, zawierającym szereg przepisów mających pomóc UE w zwiększeniu odporności cybernetycznej. To nowe prawo, które zastąpi istniejącą dyrektywę NIS (która została uzgodniona mniej więcej w tym samym czasie co GDPR), ma na celu zwiększenie ochrony cyberbezpieczeństwa na poziomie UE w szerokim zakresie sektorów, w tym w np. przemyśle farmaceutycznym, przemyśle urządzeń medycznych i żywności.

Aby zaradzić temu zwiększonemu narażeniu UE na zagrożenia cybernetyczne, dyrektywa NIS 2 obejmuje obecnie media i większe podmioty w szerszym zakresie sektorów o kluczowym znaczeniu dla gospodarki i społeczeństwa, w tym dostawców usług łączności elektronicznej dla ludności, usług cyfrowych, oczyszczania zasobów wodnych i odpadów, produkcji kluczowych produktów, usług pocztowych i kurierskich oraz administracji publicznej, zarówno na szczeblu centralnym, jak i regionalnym. Wniosek dotyczący NIS 2 obejmuje nowe usługi, takie jak produkcja farmaceutyków, urządzeń medycznych i chemikaliów, przemysł spożywczy, gospodarka ściekami i odpadami, usługi pocztowe i kurierskie, a także administracja publiczna.

Wdrożenie NIS2 nastąpi w tym samym czasie, co wdrożenie proponowanej nowej dyrektywy dotyczącej odporności dla podmiotów krytycznych w sektorach takich jak energia i transport.

W dużej mierze, w odpowiedzi na wzrost liczby cyberataków od 2016 r. oraz ogólnie na zwiększone zagrożenia związane z cyfryzacją, dyrektywa w sprawie bezpieczeństwa cybernetycznego ma na celu zaostrzenie wymogów w zakresie ochrony, uwzględnienie bezpieczeństwa łańcuchów dostaw oraz usprawnienie wymogów sprawozdawczych, a także wprowadzenie surowszych środków monitorowania i silniejszych wymogów w zakresie egzekwowania przepisów, w tym zharmonizowanych systemów sankcji w całej UE.

Wzmacniając obowiązki przedsiębiorstw w zakresie bezpieczeństwa cybernetycznego, dyrektywa NIS 2 wprowadza bardziej szczegółowe przepisy dotyczące procesów i terminów zgłaszania incydentów do CSIRT, a także silniejsze środki nadzoru ze strony organów krajowych oraz surowsze wymogi w zakresie egzekwowania przepisów.

Dyrektywa NIS 2 wzmacnia również wymogi dotyczące bezpieczeństwa cybernetycznego nałożone na przedsiębiorstwa, porusza kwestię bezpieczeństwa łańcucha dostaw i relacji z dostawcami oraz wprowadza odpowiedzialność kierownictwa najwyższego szczebla za niedopełnienie obowiązków w zakresie bezpieczeństwa cybernetycznego.

W proponowanej Nowej Strategii Cyberbezpieczeństwa wzywa się państwa członkowskie do żądania od niezbędnych i zasadniczych podmiotów przestrzegania europejskiego programu akredytacji w zakresie bezpieczeństwa cybernetycznego, a także stosowania europejskich i międzynarodowych norm i specyfikacji dotyczących bezpieczeństwa sieci i systemów informatycznych.

Dyrektywa NIS 2 zobowiązuje państwa członkowskie do zapewnienia, że operatorzy istotnych i ważnych podmiotów będą zgłaszać poważne incydenty cybernetyczne zespołom reagowania na incydenty związane z bezpieczeństwem komputerowym.

Dyrektywa NIS 2 oficjalnie tworzyłaby również sieć europejskich organizacji łącznikowych ds. cyberkryzysów, EU-CyCLONe, która wspierałaby skoordynowane postępowanie w przypadku poważnych incydentów i kryzysów związanych z bezpieczeństwem cybernetycznym.

Dyrektywa NIS 2 nakłada również na podmioty objęte jej zakresem nowe obowiązki w zakresie przeprowadzania ocen bezpieczeństwa w ich łańcuchach dostaw oraz podejmowania odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty podczas świadczenia przez nie usług.

Skutkiem obowiązku przeprowadzania ocen bezpieczeństwa łańcucha dostaw jest to, że organizacje świadczące usługi w zakresie bezpieczeństwa sieci lub systemów informatycznych na rzecz klientów w rozszerzonym sektorze objętym zakresem działania NIS muszą być przygotowane na częstsze pytania klientów objętych zakresem działania NIS 2 dotyczące ich praktyk w zakresie bezpieczeństwa cybernetycznego i polityki bezpieczeństwa informacji.

Nowe środki bezpieczeństwa cybernetycznego wymagają od podmiotów objętych zakresem NIS 2 zmniejszenia ryzyka związanego z bezpieczeństwem w ramach ich łańcucha dostaw dostawców/usługodawców - w tym poprzez ocenę i uwzględnienie ogólnej jakości produktów i praktyk w zakresie bezpieczeństwa cybernetycznego stosowanych przez ich dostawców i usługodawców.

NIS 2 to dyrektywa UE w sprawie bezpieczeństwa cybernetycznego, która określa, jakie praktyki w zakresie bezpieczeństwa cybernetycznego powinni wdrożyć krytyczni dostawcy do 2024 r. oraz jak należy zgłaszać naruszenia władzom europejskim. Dyrektywa NIS 2 zabezpieczyłaby również kluczowe sektory, takie jak usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja urządzeń medycznych, elektronika, sprzęt mechaniczny, pojazdy i dostawcy cyfrowi. Dyrektywa NIS 2, rozszerzyła liczbę sektorów objętych regulacją oraz znacznie poszerzyła rodzaje podmiotów wchodzących w skład tych sektorów.

Celem jest osiągnięcie wyższego wspólnego standardu bezpieczeństwa cybernetycznego w całej UE, ze szczególnym naciskiem na nałożenie szczególnych obowiązków w zakresie zarządzania ryzykiem i sprawozdawczości na operatorów usług podstawowych (OES) (np. podmioty utrzymujące kluczową infrastrukturę energetyczną, opieki zdrowotnej lub transportową) oraz na dostawców usług cyfrowych (DSP), (np. niektórych dostawców rynków internetowych, wyszukiwarek internetowych i usług przetwarzania w chmurze).

Rzeczywisty formalny tytuł projektu dyrektywy NIS 2 brzmi;

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG), link.

Przyznaje ona również właściwym organom szerokie uprawnienia nadzorcze w zakresie dostępu do podmiotów objętych zakresem dyrektywy NIS 2 i dokonywania ich przeglądu.

Dyrektywa NIS 2 pozostawia również otwartą możliwość wprowadzenia systemu certyfikacji dla istotnych i ważnych podmiotów (art. 21). W szczególności dyrektywa NIS 2 odnosi się do innego oczekującego na przyjęcie rozporządzenia - dyrektywy w sprawie odporności i podmiotów krytycznych, która określa wykaz podmiotów krytycznych. Dotyczy to również wykazów podmiotów krytycznych zawartych w rozporządzeniach EMA dotyczących gotowości kryzysowej, jak również w dyrektywie w sprawie odporności podmiotów krytycznych.

Organizacje powinny zwrócić uwagę na fakt, że NIS2 obejmie szerszy zakres podmiotów niż podmioty objęte obecnie dyrektywą NIS. NIS2 aktualizuje i rozszerza istniejące wcześniej ramy (dyrektywę NIS) poprzez włączenie mediów i większych przedsiębiorstw w najbardziej krytycznych sektorach np. więcej przedsiębiorstw jest obecnie objętych zaktualizowaną dyrektywą NIS2, zapewniając, że cyberbezpieczeństwo jest na wspólnym poziomie w całej UE, i nakładając na przedsiębiorstwa większe obowiązki w zakresie cyberbezpieczeństwa.

Wreszcie, art. 2 dodaje, że podmioty muszą rozważyć podatności na zagrożenia, które są unikalne dla każdego dostawcy i usługodawcy, jak również ogólną jakość produktów i praktyk w zakresie bezpieczeństwa cybernetycznego ich dostawców i usługodawców, w tym ich procedury rozwoju bezpieczeństwa. Artykuł 2 wymaga, aby środki zarządzania ryzykiem cybernetycznym wdrożone w ramach łańcucha dostaw obejmowały aspekty związane z bezpieczeństwem, które dotyczą relacji każdego podmiotu z jego dostawcami lub usługodawcami.

Aby to osiągnąć, NIS 2 określił siedem podstawowych środków, które powinny podjąć wszystkie niezbędne i ważne podmioty w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych tych podmiotów podczas świadczenia usług na rzecz tych podmiotów. Artykuł 20, obowiązki sprawozdawcze, oraz artykuł 26, ustalenia dotyczące wymiany informacji w zakresie bezpieczeństwa cybernetycznego.

Środki, o których mowa w Dyrektywie NIS 2 obejmują przynajmniej:

a) analizę ryzyka i politykę bezpieczeństwa systemów informatycznych;

b) postępowanie w przypadku incydentu (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);

c) ciągłość działania i zarządzanie kryzysowe;

d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa;

e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;

f) polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni;

g) stosowanie kryptografii i szyfrowania

Podobnie w U.S.A Memorandum Bezpieczeństwa Narodowego Białego Domu (NSM) w sprawie poprawy cyberbezpieczeństwa systemów kontroli infrastruktury krytycznej stwierdza, że cele wykonawcze projektu muszą zapewnić właścicielom i operatorom jasny przewodnik po praktykach i postawach w zakresie cyberbezpieczeństwa, którym Amerykanie mogą ufać i których powinni oczekiwać od takich usług krytycznych, jak woda, transport, komunikacja, energia, opieka zdrowotna, służby ratownicze i inne. Określenie wszelkich dodatkowych praktyk w zakresie cyberbezpieczeństwa, które nie zostały jeszcze uwzględnione we wspólnym rdzeniu, potrzebnych do zapewnienia bezpiecznego działania infrastruktury krytycznej w tym sektorze.

W szczególności NIS 2 reguluje, że członkowie kadry kierowniczej muszą regularnie uczestniczyć w specjalnych szkoleniach, aby uzyskać niezbędną wiedzę i umiejętności pozwalające na rozpoznanie i ocenę zagrożeń i praktyk związanych z bezpieczeństwem cybernetycznym oraz ich wpływu na działalność organizacji.

NIS 2 pozwala państwom członkowskim UE na wprowadzenie kar administracyjnych, nie mniejszych niż 10 mln euro lub nie mniejszych niż 2% globalnego przychodu brutto podmiotu w poprzednim roku podatkowym, w zależności od tego, która z tych wartości jest wyższa, wobec podmiotów objętych NIS 2, które naruszają środki zarządzania ryzykiem cybernetycznym i/lub obowiązki w zakresie zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym.

Jak MQX Polska może pomóc?

NIS2 wymienia środki, które muszą być podjęte przez podmioty, takie jak: polityki bezpieczeństwa, zarządzanie incydentami, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, polityki i procedury testowania skuteczności procedur zarządzania ryzykiem cybernetycznym oraz stosowanie kryptografii i szyfrowania.

Nasz zespół koncentruje się na dostarczaniu wysokiej jakości usług cyberbezpieczeństwa i ochrony danych osobowych.

Łączymy prawo i technologie cyberbezpieczeństwa.