Rozwój technologiczny powoduje, że cyberbezpieczeństwo staje się ogromnym wyzwaniem dla przedsiębiorców. W ostatnich latach coraz częściej słyszymy o cyberatakach, które paraliżują działanie i narażają na nieodwracalne straty. Narzędzia obrony przed tymi zagrożeniami ma dostarczyć Dyrektywa NIS2 – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14.12.2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.
Dlaczego cyberbezpieczeństwo powinno być ważne dla przedsiębiorcy?
Wraz z dynamicznym postępem cyfryzacji, ewolucji ulegają również potencjalne cyberzagrożenia. Oczywiste jest, że ich wystąpienie niesie poważne konsekwencje, począwszy od zakłócenia w funkcjonowaniu sieci, po ogromne straty finansowe.
Doskonałym tego przykładem jest atak na ALAB Laboratoria w 2023 roku, kiedy to hakerzy za pomocą oprogramowania typu ransomware zablokowali dostęp do systemów komputerowych, żądając następnie okupu. ALAB nie zdecydowało się zapłacić okupu, czego skutkiem było upublicznienie danych ok. 50 tyś Polaków, w tym danych osobowych oraz wyników badań (liczba ta dotyczy jedynie wycieku w listopadzie 2023 roku. Takich wycieków było jednak kilka i odbywały się cyklicznie).
Tego typu incydenty nie są odosobnione — przykładów można wymieniać wiele.
Wspomnieć można chociażby o ataku na sklep internetowy Morele.net w 2018 roku, na skutek którego wyciekły dane osobowe setek tysięcy klientów, a hakerzy uzyskali dostęp do numery telefonów, czy adresów e-mail. Z kontroli przeprowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych wynika, że administrator nie zabezpieczał części danych poprzez szyfrowanie, nie wdrożył odpowiedniego systemu uwierzytelniania i nie przeprowadził właściwej analizy ryzyka.
Cyberbezpieczeństwo to obecnie kluczowy aspekt dla każdego przedsiębiorcy, który przechowuje dane klientów lub prowadzi działalność online. Nie jest więc zaskakujące, że w ostatnim czasie spore zainteresowanie wśród przedstawicieli biznesu budzi Dyrektywa NIS2.
Czym jest Dyrektywa NIS2?
Nowe podmioty pod lupą? Choć unijne przepisy dotyczące cyberbezpieczeństwa mogą wydawać się stosunkowo nowe, w rzeczywistości są już od dawna przedmiotem regulacji na poziomie Unii Europejskiej. NIS2 stanowi kontynuację i rozwinięcie dotychczasowych przepisów, w szczególności dyrektywy NIS, która obowiązywała już od 2016 roku i stworzyła ramy dla dalszych regulacji prawnych. Warto więc w pierwszej kolejności zwrócić uwagę na kluczowe zmiany, które odróżniają NIS2 od jej poprzedniczki. Przeanalizowanie tych różnic pomaga zauważyć, jak zmieniły się priorytety Unii Europejskiej w zakresie ochrony ważnych sektorów gospodarki.
Istotnym założeniem NIS2 było przede wszystkim rozszerzenie kręgu podmiotów objętych regulacjami na te sektory o kluczowym znaczeniu dla społeczeństwa i gospodarki. Wcześniej, to wewnętrznym zadaniem państw była identyfikacja tzw. operatorów usług kluczowych, tj. podmiotów objętych obowiązkami w zakresie cyberbezpieczństwa. Celem NIS2 było również stworzenie jednolitych kryteriów dla określenia podmiotów objętych zastosowaniem nowej dyrektywy. Jest to słuszne założenie, biorąc pod uwagę konieczność zapewnienia pewności prawa.
NIS2 wskazuje na możliwość zastosowania kryterium wielkościowego. Założeniem było więc, aby dyrektywa znajdowała zastosowanie do tych podmiotów określanych mianem średnich przedsiębiorców oraz tych przekraczających ten pułap. Drugim kryterium stanowi przedmiot działalności – nawet jeżeli podmiot zaliczany jest do małych lub mikroprzedsiębiorstw, ale świadczy usługi w sektorach ważnych dla społeczeństwa i gospodarki – również powinien zostać objęty NIS2. Obowiązkami wynikającymi z dyrektywy NIS2 objęte zostaną wybrane podmioty z branży:
- energetycznej,
- transportowej,
- bankowej,
- opieki zdrowotnej,
- infrastruktury cyfrowej (m.in. dostawcy usług DNS, usług chmurowych, usług zaufania),
- podmioty administracji publicznej,
- świadczące usługi pocztowe,
- gospodarowania odpadami,
- produkcji,
- wytwarzania chemikaliów,
- produkcji, przetwarzaniu i dystrybucji żywności.
Dodatkowo NIS2 dotyczyć będzie również niektórych podmiotów zajmujących się produkcją, m.in. wyrobów medycznych, komputerów, czy wyrobów elektronicznych, maszyn i rządzeń oraz pojazdów.
Gdy już stwierdzimy, że według wskazanych kryteriów dany podmiot podlega przepisom NIS2, to dalej, dyrektywa dzieli te podmioty na dwie kategorie – podmioty kluczowe i podmioty ważne. W zależności od kategorii, poziom ryzyka jest inny, co oznacza konieczność dostosowania nakładanych obowiązków, sposobu ich egzekwowania oraz systemów nadzoru do specyfiki każdej z tych grup.
Jeśli wiec prowadzą Państwo działalność w jednaj z wymienionych branż, konieczne jest zweryfikowanie, czy przedsiębiorstwo, biorąc pod uwagę inne kryteria określone w dyrektywie (z uwzględnieniem rodzaju branży oraz wielkości przedsiębiorstwa) będzie objęte obowiązkami wynikającymi z NIS2.
Nowe wymogi dla podmiotów w świetle Dyrektywy NIS2. Co się zmieni?
Nowe regulacje mają na celu wzmocnienie ochrony kluczowych sektorów gospodarki. Jakie zatem kroki należy podjąć, by zapewnić zgodność działań z wymogami NIS2?
Należy w pierwszej kolejności podkreślić, że choć NIS2 stawia przed państwami członkowskimi Unii Europejskiej szereg wyzwań mających na celu podniesienie poziomu cyberbezpieczeństwa, to sama wyznacza jedynie ogólne ramy dla dalszych regulacji. To na krajach członkowskich spoczywa obowiązek zapewnienia, aby podmioty kluczowe i ważne wprowadziły odpowiednie środki zarządzania ryzykiem w zakresie bezpieczeństwa sieci systemów informatycznych. Skoro to zobowiązanie spoczywa na państwach, to automatycznie przekłada się na obowiązek podmiotów gospodarczych do przestrzegania określonych wymogów.
Przede wszystkim NIS2 wymusza na państwach opracowania krajowej strategii cyberbezpieczeństwa oraz powołanie co najmniej jednego zespołu reagowania na incydenty bezpieczeństwa komputerowego – tzw. CSIRT. Zadaniem tego podmiotu będzie przede wszystkim monitorowanie i analizowanie cyberzagrożeń, ostrzeganie podmiotów kluczowych i o zagrożeniach oraz reagowanie na incydenty i udzielanie pomocy.
NIS2 wskazuje również na minimalne wymogi, jakie muszą spełniać podmioty objęte zakresem dyrektywy. Podmioty te zmierzyć będą musiały się z nowymi obowiązkami polegającymi m.in. na:
- Opracowaniu polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
- Obsłudze incydentu i wprowadzenie skutecznych procedur na wypadek zdarzenia naruszającego dostępność, integralność lub poufność danych lub usług,
- Zabezpieczeniu ciągłości działania i przywracaniu normalnego działania po wystąpieniu nadzwyczajnej sytuacji, np. dzięki tworzeniu kopii zapasowych,
- Zapewnienia bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
- Opracowania i wdrażanie praktyk w zakresie cyberhigieny,
- Zapewnienie bezpieczeństwa zasobów ludzkich, opracowanie polityki kontroli dostępu, a więc działań i procedur mających na celu ochronę podmiotu przed zagrożeniami związanymi z działaniami personelu.
Oprócz powyższych wymogów, NIS2 przewiduje również istotny obowiązek informowania CSIRT o tzw. poważnych incydentach. W niektórych przypadkach, obowiązek ten rozciągać będzie się również na informowanie odbiorców usług o incydentach, jeśli mogą one mieć wpływ na ich bezpieczeństwo. Obowiązki te obwarowane są jednak stosunkowo krótkimi terminami i przewidują konieczność:
- Zgłoszenia wczesnego ostrzeżenia – bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od powzięcia informacji o poważnym incydencie. W tym etapie ustalić należy, czy incydent został wywołany działaniem bezprawnym, czy podjęty był w złym zamiarze i czy mógł wywrzeć wpływ transgraniczny,
- Zgłoszenia incydentu – bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od powzięcia wiedzy. Na tym etapie dokonywana jest wstępna ocena dotkliwości skutków incydentu,
- Złożenia sprawozdania końcowego – nie później niż miesiąc po zgłoszeniu incydentu. Jeżeli w tym terminie incydent nie zakończył się, wówczas obowiązek złożenia sprawozdania końcowego zamienia się w obowiązek złożenia sprawozdania z postępu prac, zaś sprawozdanie końcowe składa się w ciągu miesiąca od zakończenia obsługi incydentu.
Wdrożenie NIS2 w Polsce
Należy jednak pamiętać, że NIS2 jest unijną dyrektywą, co oznacza, że przeciwieństwie do rozporządzeń nie wiąże ona bezpośrednio, tj. nie ustanawia prawa dla obywateli Unii Europejskiej. Zamiast tego pozostawia ona państwom członkowskim swobodę w zakresie jej wdrożenia, przy jednoczesnym wytyczeniu przez Unię Europejską podstawowych założeń.
Kraje członkowskie były zobowiązane do implementacji NIS2 do 17 października 2024 roku. Do 17 kwietnia 2025 roku państwa zobowiązane są do opublikowania wykazu podmiotów kluczowych i ważnych oraz świadczących usługi rejestracji domen.
Również Polska zobowiązana jest do wdrożenia tej dyrektywy, co ma nastąpić poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Proces ustawodawczy w Polsce jest jednak wieloetapowy i zwykle długotrwały. Ministerstwo Cyfryzacji wyraziło nadzieję, że ustawa zostanie uchwalona w I kwartale 2025 roku. Niezależnie od tego, warto już teraz przygotować się na nowe obowiązki w zakresie cyberbezpieczeństwa.
W szczególności na podstawie NIS2 spodziewać się można, że nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa wymagać będzie od wybranych podmiotów:
- Opracowania i wdrożenia polityki bezpieczeństwa systemu informatycznego i metodyki szacowania ryzyka oraz oceny skuteczności podjętych środków,
- Opracowania i wdrożenia procesu zarządzania incydentami,
- Opracowanie i wdrożenie polityki umożliwiającej ciągłe i niezakłócone świadczenie usług.
Warto już teraz zacząć przygotowywać się do wdrożenia Dyrektywy NIS2, ponieważ spełnienie nowych wymogów będzie niezbędne w celu uniknięcia dotkliwych konsekwencji, jakie przewiduje NIS2. Państwa członkowskie uprawnione są bowiem do nałożenia administracyjnych kar pieniężnych na podmioty kluczowe i ważne:
- Dla podmiotów kluczowych – w wysokości co najmniej 10 000 000 EUR lub 2% łącznego światowego obrotu przedsiębiorstwa w poprzednim roku obrotowym,
- Dla podmiotów ważnych – w wysokości co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu przedsiębiorstwa w poprzednim roku obrotowym.
Nadchodzące zmiany związane z wdrożeniem Dyrektywy NIS2 to istotne wyzwanie dla wielu przedsiębiorstw, szczególnie tych działających w kluczowych sektorach gospodarki. Nowe regulacje nakładają obowiązki związane z opracowaniem i wdrożeniem zaawansowanych polityk bezpieczeństwa informatycznego, zarządzania ryzykiem i incydentami.
Jeżeli chcesz uzyskać pomoc prawną w dostosowaniu przedsiębiorstwa do NIS2, w opracowaniu niezbędnych procedur i polityk wzmacniających ochronę danych i infrastruktury informatycznej, zapraszamy do kontaktu.