Już niebawem nowa dyrektywa NIS 2 dotycząca cyberbezpieczeństwa zastąpi obecnie obowiązującą dyrektywę NIS, a także wprowadzi wiele istotnych zmian, które będą miały wpływ na szerokie spektrum sektorów gospodarki Unii Europejskiej. Co tak ważnego się zmieni i jak te zmiany wpłyną na nasze życie znajdziecie Państwo poniżej.

W celu zwiększenia ogólnego poziomu cyberbezpieczeństwa na rynku wewnętrznym Unii Europejskiej, Parlament Europejski uchwalił Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 („NIS 2”). Rzeczona dyrektywa stanowi odpowiedź na zwiększoną cyfryzację oraz ewolucję struktury elektronicznego świata i związanego z nim coraz większego ryzyka dotyczącego cyberbezpieczeństwa.

Co obejmuje dyrektywa NIS2?

NIS 2 swoim zakresem określa:

• obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT);
• środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów spoczywające na podmiotach podlegających rzeczonej dyrektywie;
• zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie;
• obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.

Co się zmieni w związku z wejściem w życie NIS2?

NIS 2 wprowadza obowiązek w przedmiocie zarządzania cyberbezpieczeństwem. Wiąże się to z koniecznością wprowadzenia przez organizacje elementów zarządzania ryzykiem, takich jak:

• polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
• polityki zarządzania incydentami,
• planów ciągłości działania,
• zapewnienia bezpieczeństwa łańcucha dostaw,
• polityki bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie,
• polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
• określenie podstawowych praktyk cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
• polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
• określenie zasad bezpieczeństwa zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami,
• w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Co ważne, odpowiedzialnymi za wprowadzenie przedmiotowych zmian będą organy zarządcze i nadzorcze określonej organizacji. Organizacje mogą ponosić odpowiedzialność za wadliwość zaimplementowania przepisów dyrektywy i następnie ustawy, która zostanie uchwala w oparciu o dyrektywę.

Kogo dotyczy NIS 2?

NIS 2 modyfikuje nieco katalog podmiotów, które będą podlegać dyrektywie. W jej ramach, dokonano ich podziału na podmioty kluczowe oraz ważne. Poniżej znaleźć można podział podmiotów:

SEKTORY KLUCZOWE:

1. Energetyka,
2. Transport,
3. Bankowość,
4. Infrastruktura rynków finansowych,
5. Opieka zdrowotna,
6. Woda pitna,
7. Ścieki,
8. Infrastruktura cyfrowa,
9. Dostawcy punktu wymiany ruchu internetowego,
10. Dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw,
11. Rejestry nazw TLD,
12. Dostawcy usług chmurowych,
13. Dostawcy usług ośrodka przetwarzania danych,
14. Dostawcy sieci dostarczania treści,
15. Dostawcy usług zaufania,
16. Dostawcy publicznych sieci łączności elektronicznej,
17. Dostawcy publicznie dostępnych usług łączności elektronicznej,
18. Zarządzanie usługami ICT (między przedsiębiorstwami),
19. Dostawcy usług zarządzanych,
20. Dostawcy usług zarządzanych w zakresie bezpieczeństwa,
21. Podmioty administracji publicznej,
22. Przestrzeń kosmiczna

SEKTORY WAŻNE:

1. Usługi pocztowe i kurierskie,
2. Gospodarowanie odpadami,
3. Produkcja, wytwarzanie i dystrybucja chemikaliów,
4. Produkcja, przetwarzanie i dystrybucja żywności,
5. Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
6. Produkcja komputerów, wyrobów elektronicznych i optycznych,
7. Produkcja urządzeń elektrycznych,
8. Produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana,
9. Produkcja pojazdów samochodowych, przyczep i naczep,
10. Produkcja pozostałego sprzętu transportowego,
11. Dostawcy usług cyfrowych,
12. Dostawcy internetowych platform handlowych,
13. Dostawcy wyszukiwarek internetowych,
14. Dostawcy platform usług sieci społecznościowych,
15. Badania naukowe.

Co z karami w ramach NIS 2?

Organizacje, które nie dostosują się do nowych regulacji, mogą spotkać przykre konsekwencje. W zależności od kategorii podmiotu, grozić może im bowiem kara pieniężne w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych organizacji, którzy mogą być zawieszeni w ramach pełnienia przez nich funkcji.

Co dalej?

Odpowiednie organizacje powinny odpowiednio przygotować się do wdrożenia NIS 2. W tym celu powinny w pierwszej kolejności sprawdzić czy rzeczona dyrektywa ma zastosowanie do ich działalności. Następnie, zweryfikować czy i w jakim zakresie organizacja spełnia już obowiązki prawne wymagane przez NIS 2, a następnie wdrożyć odpowiednie polityki, procedury oraz inne zmiany kluczowe dla zapewnienia funkcjonowania organizacji z NIS 2 w ramach prawa IT i nowych technologii.