Dyrektywa NIS2 to rozszerzenie i aktualizacja dyrektywy NIS 1, która wzmacnia, harmonizuje i co ważne, rozszerza - zarówno w zakresie obowiązków, jak i objęcia nimi nowych podmiotów - regulacje związane z cyberbezpieczeństwem i cyberodpornością przedsiębiorstw Unii Europejskiej.
Wyzwania w obszarze cyberbezpieczeństwa
Corocznie do wiadomości publicznej docierają nowe informacje o skutecznych cyberatakach. Jednym z najsłynniejszych jest atak na sieć hoteli Marriott z 2014 roku (podany do wiadomości publicznej dopiero w 2018 roku), na skutek którego hakerzy uzyskali dostęp do danych klientów sieci i którego koszty obejmowały kary za naruszenie regulacji dot. ochrony danych osobowych, odszkodowania w procesach zbiorowych oraz wydatki prawne.
Wyciek danych osobowych nie jest jednak jedynym celem cyberataków – priorytetem może być także:
- wykradzenie informacji rządowych (atak na amerykańską firmę SolarWinds, której klientami były min. instytucje rządowe – 2018 r.);
- zakłócenie ciągłości świadczenia usług (na skutek ataku na Sony PlayStation przerwa w działaniu serwisu firmy trwała niemal miesiąc, wykradziono także dane użytkowników - 2018);
- wyłudzenie okupu (niedawny głośny w Polsce atak na ALAB Laboratoria – zarząd spółki podjął decyzję o odmowie zapłaty okupu, w związku z czym ujawniono wrażliwe dane osobowe pacjentów firmy).
Założenia NIS 2
Projektując dyrektywę NIS 2 Komisja Europejska postawiła sobie za cel poprawienie cyberodporności kluczowych przedsiębiorstw na obszarze całej UE. Jak pokazują przytoczone powyżej przykłady, cyberataki realnie mogą utrudnić prowadzenie działalności gospodarczej, generować straty finansowe i podważać zaufanie klientów i użytkowników do firmy.
Branże i podmioty objęte nowymi obowiązkami
1. Podmioty kluczowe
Dyrektywa wprowadza pojęcie podmiotu kluczowego (essential entities) oraz pomiotu ważnego (important entities).
Do pierwszej kategorii zaliczają się podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. W załączniku wyszczególniono 10 sektorów. Są to:
- energetyka;
- transport;
- bankowość i infrastruktura rynków finansowych;
- ochrona zdrowia;
- woda pitna;
- ścieki;
- infrastruktura cyfrowa;
- zarządzanie usługami ICT;
- administracja publiczna;
- przestrzeń kosmiczna.
Z pewnymi wyjątkami (przykładem mogą być tu dostawcy usług zaufania) podmiotem kluczowym będą tylko podmioty duże, zatrudniające więcej niż 250 osób, oraz których obroty roczne przekraczają 50 mln euro, i/lub których roczna suma bilansowa przekracza 43 mln euro[2].
2. Podmioty ważne
Drugą kategorią podmiotów wprowadzoną przez NIS 2 są podmioty ważne, do których zaliczaj się:
- podmioty średnie[3], które jednocześnie działają we wskazanych powyżej, kluczowych sektorach gospodarki;
- podmioty średnie lub duże[4], które jednocześnie działają w sektorach ważnych (other critical sectors) określonych w Załączniku II do NIS 2. Zaliczają się do nich:
- usługi pocztowe i kurierskie;
- gospodarowanie odpadami;
- produkcja, przetwarzanie i dystrybucja chemikaliów;
- produkcja, przetwarzanie i dystrybucja żywności;
- produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego;
- dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych;
- badania naukowe.
Powyższe założenia NIS 2 mogą być modyfikowane na szczeblu krajowym. Obecny projekt polskiej ustawy wdrażającej NIS 2[5] rozszerza zakres podmiotowy regulacji poprzez:
- włączenie do podmiotów kluczowych, przedsiębiorstw spełniających kryteria podmiotu dużego, które jednocześnie działają w sektorach gospodarki z załącznika II do NIS 2 (wskazane powyżej w punkcie 2);
a także
- włączeniu niektórych sektorów z załącznik II do NIS 2 do kategorii sektorów kluczowych – dotyczy to w szczególności sektora produkcji.
Istotnym czynnikiem, który wpłynie na rozpowszechnienie standardu ochrony przewidzianej NIS 2 jest fakt, że podmioty kluczowe i ważne będą zobowiązane do zapewnienia cyberbezpieczeństwa swoich łańcuchów dostaw. W konsekwencji będą one wymagać od swoich dostawców i klientów stosowania odpowiednich standardów, nawet jeśli same te podmioty nie będą identyfikowane jako podmiot kluczowy lub ważny.
Dyrektywa NIS 2 wprowadza zasadę samoidentyfikacji – to przedsiębiorca musi samodzielnie zbadać swój status w kontekście definicji dużego i średniego podmiotu oraz sektora świadczonych przez niego usług.
Terminy
Termin implementacji NIS 2 do krajowego porządku prawnego przypada 18 października 2024 roku. Tymczasem projekt nowelizujący Ustawę o krajowym systemie cyberbezpieczeństwa znajduje się obecnie w fazie konsultacji społecznych i opiniowania. Należy się zatem spodziewać opóźnienia we wdrożeniu unijnej regulacji do polskiego porządku prawnego. Tym niemniej, począwszy od 18 października 2024 roku polskie przedsiębiorstwa powinny być gotowe do wdrożenia odpowiedniego poziomu cyberbezpieczeństwa. Wdrożenie odpowiednich środków technicznych i organizacyjnych, świadomość ryzyk oraz systematyczne audyty stanowią klucz do skutecznego spełnienia wymagań NIS 2.
[1] W rozumieniu załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.
[2] Załącznik I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.
[3] W rozumieniu wskazanych powyżej przepisów - podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.
[4] W rozumieniu wskazanych powyżej przepisów - podmioty zatrudniające powyżej 50 pracowników oraz osiągających roczny obrót lub całkowity bilans roczny powyżej 10 mln euro.
[5] Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa obecnie jest na etapie konsultacji publicznych: https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055201#13055201, dostęp: 26.09.2024 r.