Cyberbezpieczeństwo – nowe obowiązki prawne
Opublikowano:
25 Kwietnia 2023r
Już niebawem nowa dyrektywa NIS 2 dotycząca cyberbezpieczeństwa zastąpi obecnie obowiązującą dyrektywę NIS, a także wprowadzi wiele istotnych zmian, które będą miały wpływ na szerokie spektrum sektorów gospodarki Unii Europejskiej. Co tak ważnego się zmieni i jak te zmiany wpłyną na nasze życie znajdziecie Państwo poniżej.
W celu zwiększenia ogólnego poziomu cyberbezpieczeństwa na rynku wewnętrznym Unii Europejskiej, Parlament Europejski uchwalił Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 („NIS 2”). Rzeczona dyrektywa stanowi odpowiedź na zwiększoną cyfryzację oraz ewolucję struktury elektronicznego świata i związanego z nim coraz większego ryzyka dotyczącego cyberbezpieczeństwa.
Co obejmuje dyrektywa NIS2?
NIS 2 swoim zakresem określa:
- obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT);
- środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów spoczywające na podmiotach podlegających rzeczonej dyrektywie;
- zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie;
- obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.
Co się zmieni w związku z wejściem w życie NIS2?
NIS 2 wprowadza obowiązek w przedmiocie zarządzania cyberbezpieczeństwem. Wiąże się to z koniecznością wprowadzenia przez organizacje elementów zarządzania ryzykiem, takich jak:
- polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
- polityki zarządzania incydentami,
- planów ciągłości działania,
- zapewnienia bezpieczeństwa łańcucha dostaw,
- polityki bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie,
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- określenie podstawowych praktyk cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
- polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
- określenie zasad bezpieczeństwa zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami,
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Co ważne, odpowiedzialnymi za wprowadzenie przedmiotowych zmian będą organy zarządcze i nadzorcze określonej organizacji. Organizacje mogą ponosić odpowiedzialność za wadliwość zaimplementowania przepisów dyrektywy i następnie ustawy, która zostanie uchwala w oparciu o dyrektywę.
Kogo dotyczy NIS 2?
NIS 2 modyfikuje nieco katalog podmiotów, które będą podlegać dyrektywie. W jej ramach, dokonano ich podziału na podmioty kluczowe oraz ważne. Poniżej znaleźć można podział podmiotów:
SEKTORY KLUCZOWE:
- Energetyka,
- Transport,
- Bankowość,
- Infrastruktura rynków finansowych,
- Opieka zdrowotna,
- Woda pitna,
- Ścieki,
- Infrastruktura cyfrowa,
- Dostawcy punktu wymiany ruchu internetowego,
- Dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw,
- Rejestry nazw TLD,
- Dostawcy usług chmurowych,
- Dostawcy usług ośrodka przetwarzania danych,
- Dostawcy sieci dostarczania treści,
- Dostawcy usług zaufania,
- Dostawcy publicznych sieci łączności elektronicznej,
- Dostawcy publicznie dostępnych usług łączności elektronicznej,
- Zarządzanie usługami ICT (między przedsiębiorstwami),
- Dostawcy usług zarządzanych,
- Dostawcy usług zarządzanych w zakresie bezpieczeństwa,
- Podmioty administracji publicznej,
- Przestrzeń kosmiczna
SEKTORY WAŻNE:
- Usługi pocztowe i kurierskie,
- Gospodarowanie odpadami,
- Produkcja, wytwarzanie i dystrybucja chemikaliów,
- Produkcja, przetwarzanie i dystrybucja żywności,
- Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
- Produkcja komputerów, wyrobów elektronicznych i optycznych,
- Produkcja urządzeń elektrycznych,
- Produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana,
- Produkcja pojazdów samochodowych, przyczep i naczep,
- Produkcja pozostałego sprzętu transportowego,
- Dostawcy usług cyfrowych,
- Dostawcy internetowych platform handlowych,
- Dostawcy wyszukiwarek internetowych,
- Dostawcy platform usług sieci społecznościowych,
- Badania naukowe.
Co z karami w ramach NIS 2?
Organizacje, które nie dostosują się do nowych regulacji, mogą spotkać przykre konsekwencje. W zależności od kategorii podmiotu, grozić może im bowiem kara pieniężne w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych organizacji, którzy mogą być zawieszeni w ramach pełnienia przez nich funkcji.
Co dalej?
Odpowiednie organizacje powinny odpowiednio przygotować się do wdrożenia NIS 2. W tym celu powinny w pierwszej kolejności sprawdzić czy rzeczona dyrektywa ma zastosowanie do ich działalności. Następnie, zweryfikować czy i w jakim zakresie organizacja spełnia już obowiązki prawne wymagane przez NIS 2, a następnie wdrożyć odpowiednie polityki, procedury oraz inne zmiany kluczowe dla zapewnienia funkcjonowania organizacji z NIS 2 w ramach prawa IT i nowych technologii.
Zobacz również
17.09.2024
Nowa ustawa o postępowaniach zbiorowych w sprawach konsumenckich – kluczowe zmiany dla konsumentów
W środę, 24 lipca, Sejm przyjął nowelizację ustawy o dochodzeniu roszczeń w postępowaniu grupowym. To długo oczekiwane...
01.08.2024
Trybunał Konstytucyjny: Raporty MDR niezgodne z Konstytucją RP
Trybunał Konstytucyjny w Polsce wydał jedno z najbardziej kontrowersyjnych orzeczeń dotyczących tzw. raportów MDR...
15.04.2024
Wejście w życie AI Act: Nowa Era Regulacji Sztucznej Inteligencji w Unii Europejskiej
W lipcu 2024 roku wjedzie w życie jedno z najważniejszych rozporządzeń regulujących rozwój i zastosowanie sztucznej...
29.03.2024
Święta Wielkanocne
Z okazji Świąt Wielkanocnych pragniemy złożyć wszystkim naszym Klientom najserdeczniejsze życzenia. Niech ten wyjątkowy czas...
29.09.2023
Rejestracja spółki z ograniczoną odpowiedzialnością (sp. z o.o.)
Spółka z ograniczoną odpowiedzialnością (sp. z o.o.) to jedna z najpopularniejszych form prowadzenia działalności...
30.06.2023
Nowa ustawa dotycząca elektrowni wiatrowych – istotne zmiany dla inwestorów
Ostatnio została wprowadzona nowelizacja ustawy dotyczącej elektrowni wiatrowych, która zaczęła obowiązywać 23 kwietnia...