Dlaczego Dyrektywa NIS2 jest tak ważna?

Wyślij link znajomemu

Dyrektywa NIS2 jest kluczowym elementem strategii Unii Europejskiej na rzecz wzmocnienia cyberbezpieczeństwa w państwach członkowskich i ma na celu zapewnienie wyższego, jednolitego poziomu ochrony w całej UE. Jest to niezwykle ważne w dobie, gdy cyberataki stają się coraz bardziej zaawansowane, a ich potencjalne skutki coraz bardziej destrukcyjne zarówno dla gospodarek, jak i dla życia codziennego obywateli.

Istota dyrektywy NIS2 – kilka kluczowych czynników:

1. Wzrost cyberzagrożeń

W ostatnich latach, w miarę jak technologie informatyczne rozwinęły się, równie dynamicznie rozwinęły się metody przeprowadzania ataków cybernetycznych. Dyrektywa NIS2 odnosi się do tego wzrostu, wymagając od państw członkowskich i podmiotów regulowanych wdrożenia zaawansowanych środków obronnych i procedur reagowania na incydenty.

2. Krytyczna infrastruktura

Wiele sektorów uznawanych za kluczowe dla funkcjonowania społeczeństw i gospodarek, takich jak energetyka, transport, bankowość czy sektor zdrowia, wymaga szczególnej ochrony. NIS2 poszerza zakres sektorów objętych regulacją, co zwiększa odporność infrastruktury krytycznej na zakłócenia spowodowane cyberatakami.

3. Jednolite standardy

Poprzez harmonizację wymogów i środków w całej Unii Europejskiej, NIS2 zmniejsza zróżnicowanie praw i praktyk w zakresie cyberbezpieczeństwa na terenie całej wspólnoty. Dzięki temu przedsiębiorstwa działające w wielu państwach członkowskich mogą stosować jednolite strategie i polityki bezpieczeństwa, co poprawia ogólną efektywność działań związanych z zapewnieniem cyberbezpieczeństwa.

4. Raportowanie incydentów

Dyrektywa wprowadza surowsze wymogi dotyczące raportowania incydentów cyberbezpieczeństwa, co nie tylko zwiększa przejrzystość i umożliwia lepszą analizę zagrożeń, ale również pomaga w szybszym rozpowszechnianiu informacji o potencjalnych zagrożeniach, co jest kluczowe dla prewencji i zarządzania kryzysowego.

Współpraca międzynarodowa: NIS2 stymuluje i poprawia współpracę między państwami członkowskimi oraz wspiera budowanie międzynarodowych sieci współpracy w dziedzinie cyberbezpieczeństwa, co jest niezbędne w walce z globalnymi zagrożeniami.

Podmioty objęte regulacją NIS2

Nowa dyrektywa NIS2 wprowadza znaczące zmiany w kategoryzacji podmiotów odpowiedzialnych za utrzymanie standardów cyberbezpieczeństwa, rozszerzając zobowiązania zarówno na nowe sektory, jak i na większą liczbę przedsiębiorstw. Dyrektywa rozróżnia dwa główne typy podmiotów: podmioty kluczowe i podmioty ważne. 

Podmioty kluczowe, których dotyczy dyrektywa NIS2

W ramach nowej dyrektywy NIS2 zakres obowiązków został znacznie rozszerzony w porównaniu do pierwotnej dyrektywy NIS. Podstawową zmianą jest wprowadzenie nowej kategorii podmiotów, które teraz zostaną objęte regulacjami. Są to tzw. ważne podmioty (important entities), które zastępują koncepcję „dostawców usług cyfrowych” obecną w pierwotnej dyrektywie. To oznacza, że znacznie więcej organizacji niż dotychczas będzie musiało stosować się do nowych, surowszych wymogów.

Dyrektywa NIS2 obliguje zatem wszystkie te podmioty, zarówno kluczowe, jak i ważne, do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa ich systemów sieciowych i informacyjnych. Rozszerzenie to obejmuje nie tylko tradycyjne sektory infrastruktury krytycznej, ale także nowe branże, które stają się coraz bardziej istotne dla społeczeństwa i gospodarki, takie jak firmy farmaceutyczne czy też producenci, operatorzy przechowywania i transmisji wodoru.

Dyrektywa NIS2 rozszerza swoje działanie na średnie i duże przedsiębiorstwa z sektorów publicznych i prywatnych, co stanowi znaczące rozszerzenie w porównaniu z pierwotną dyrektywą NIS, która skupiała się głównie na dużych operatorach i dostawcach usług łączności. Prognozy wskazują, że w Polsce regulacje te mogą dotyczyć kilku tysięcy firm, co podkreśla skalę i znaczenie nowych przepisów.

Wprowadzenie tak szerokiego zakresu regulacji ma na celu nie tylko zwiększenie bezpieczeństwa cyfrowego na poziomie poszczególnych podmiotów, ale także wzmocnienie całego łańcucha dostaw w kontekście cyberbezpieczeństwa, co jest kluczowe w obliczu rosnących i coraz bardziej zaawansowanych zagrożeń cybernetycznych.

Wśród operatorów usług kluczowych znajdują się między innymi następujące branże:

  • Energetyka
  • Transport
  • Bankowość
  • Infrastruktura rynków finansowych
  • Opieka zdrowotna
  • Sektor wody pitnej
  • Sektor odprowadzania ścieków
  • Dostawcy usług cyfrowych
  • Zarządzanie usługami ICT
  • Podmioty administracji publicznej
  • Przestrzeń kosmiczna

Podmioty ważne

Podmioty ważne, zdefiniowane w załączniku 2 dyrektywy to te, które również odgrywają istotną rolę w społeczeństwie i gospodarce, ale których wpływ na infrastrukturę krytyczną jest mniej bezpośredni. Wśród nich znajdują się:

  •  Usługi pocztowe i kurierskie
  • Gospodarowanie odpadami
  • Produkcja, przetwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja w szerokim znaczeniu
  • Usługi cyfrowe
  • Badania naukowe

Od kiedy dyrektywa NIS 2 stanie się obowiązującym prawem?

Dyrektywa NIS2 została formalnie przyjęta przez Parlament Europejski w grudniu 2020 roku, co stanowiło ważny krok na drodze do jej wdrożenia. Po przyjęciu dyrektywy przez Parlament Europejski i Radę UE, państwa członkowskie otrzymały określony czas na transpozycję jej postanowień do prawa krajowego. Jest to standardowa procedura w przypadku dyrektyw unijnych, które muszą być włączone do systemów prawnych poszczególnych krajów.

Wszystkie kraje zostały zobowiązane do wdrożenia dyrektywy NIS2 do 17 października 2024 roku. Mimo że termin ten zbliża się nieubłaganie, nadal istnieją niepewności co do tego, czy Polska zdąży zaimplementować niezbędne przepisy. Prace nad polską ustawą trwają i obecnie projekt ustawy wdrażającej Dyrektywę znajduje się na etapie konsultacji społecznych. Zgodnie z zapowiedziami członków rządu w Polsce odpowiednie przepisy zostaną uchwalone w trzecim kwartale bieżącego roku.

Wdrożenie dyrektywy NIS2

Podmioty regulowane muszą być świadome, że proces wdrożenia może być złożony i czasochłonny, zwłaszcza jeżeli dotychczasowe praktyki bezpieczeństwa są nieadekwatne wobec wymagań NIS2. W związku z tym zaleca się, aby już teraz rozpoczęły one przygotowania do wdrożenia nowych wymogów, aby uniknąć kar za niezgodność, które będą wprowadzone po wejściu dyrektywy w życie.

NIS2, a polityka bezpieczeństwa w Twojej organizacji

Dla polskich firm podlegających nowym regulacjom nadchodzące miesiące to krytyczny czas, który powinien zostać wykorzystany, aby przygotować organizację do spełnienia wymogów dyrektywy. Firmy muszą szczegółowo określić środki zarządzania ryzykiem w cyberbezpieczeństwie oraz opracować i wdrożyć między innymi odpowiednie polityki bezpieczeństwa, procedury monitorowania, zarzadzania zmianami w systemach IT, oraz wykrywania i reagowania na incydenty cyberbezpieczeństwa. Dodatkowo, Dyrektywa nakazuje także wdrożenie procedur oraz środków technicznych zarządzania podatności systemów informatycznych. Są tylko przykładowe obszary niezbędne, w celu zapewnia zgodności z dyrektywą i uniknięcia rygorystycznych kar za nieprzestrzeganie nowych przepisów.

Obowiązek raportowania incydentów

Dyrektywa NIS2 wymaga od organizacji obowiązkowego zgłaszania i raportowania poważnych incydentów cyberbezpieczeństwa do odpowiednich krajowych organów nadzorczych w wyznaczonym krótkim czasie od ich wykrycia. To wymaga od organizacji stworzenia lub udoskonalenia systemów wykrywania incydentów oraz procedur ich zgłaszania, oraz gromadzenia danych niezbędnych do określenia przyczyn wystąpienia incydentów i wykrycia sprawców.

Współpraca i wymiana informacji

Podmioty regulowane są zobowiązane do współpracy z innymi organizacjami oraz z krajowymi i unijnymi organami regulacyjnymi w zakresie wymiany informacji o zagrożeniach i najlepszych praktykach. To wymaga budowania nowych lub wzmocnienia istniejących kanałów komunikacji i współpracy.

 Audyty i kontrola zgodności

Organizacje będą musiały regularnie poddawać się audytom i kontrolom zgodności przeprowadzanym przez krajowe organy nadzorcze, co wymaga utrzymania wysokiego poziomu wewnętrznej dokumentacji i gotowości do inspekcji.

Edukacja pracowników

Wzrost standardów cyberbezpieczeństwa wymaga także zwiększenia świadomości i kompetencji pracowników w zakresie cyberbezpieczeństwa. Organizacje będą musiały inwestować w regularne szkolenia pracowników, aby zapewnić, że są oni świadomi potencjalnych zagrożeń i wiedzą czym jest cyberbezpieczeństwo i jak postępować w przypadku cyberataków.

Sankcje za brak zgodności z NIS2

Dyrektywa NIS2 wprowadza również znacznie wzmocniony system sankcji, mający na celu zapewnienie, że podmioty kluczowe i ważne przestrzegają nowych, rygorystycznych wymagań dotyczących cyberbezpieczeństwa. System ten został zaprojektowany, aby odstraszać od nieprzestrzegania przepisów oraz zwiększać odpowiedzialność organizacji. Zgodnie z dyrektywą NIS2, państwa członkowskie UE są zobowiązane do wprowadzenia systemu kar niepieniężnych, finansowych i sankcji administracyjnych, które mają na celu zapewnienie przestrzegania nowych przepisów dotyczących strategii cyberbezpieczeństwa UE. Dyrektywa przewiduje sankcje wobec podmiotów, a także wobec osób fizycznych zarządzających podmiotami. Te kary są istotnym elementem dyrektywy, mającym na celu zniechęcenie do nieprzestrzegania obowiązujących norm i zasad.

Główne aspekty systemu sankcji obejmują:

Wysokość kar: Karne sankcje finansowe mogą osiągnąć znaczące kwoty, co ma stanowić realną zachętę do przestrzegania przepisów. Dla podmiotów kluczowych maksymalne kary mogą wynosić do 10 milionów euro lub do 2% całkowitego światowego obrotu rocznego. Dla podmiotów ważnych kary mogą sięgać do 7 milionów euro lub 1,4% rocznego obrotu globalnego. Kary pieniężne mogą być nałożone na organizacje, które nie stosują się do wymogów dotyczących zarządzania ryzykiem, nie zgłaszają incydentów cyberbezpieczeństwa w wymaganym czasie.
Odpowiedzialność zarządzających: Ciała zarządzające podmiotami kluczowymi i ważnymi mogą być pociągnięte do odpowiedzialności za nieprzestrzeganie przepisów dyrektywy NIS2, co podkreśla rolę zarządu w zapewnieniu zgodności z przepisami dotyczącymi cyberbezpieczeństwa.

System kar jest kluczowy w kontekście zapewnienia, że zarówno duże korporacje, jak i mniejsze firmy traktują wymogi bezpieczeństwa cyfrowego z należytą powagą. Zwiększa to ogólną odporność na cyberataki i poprawia jakość zarządzania ryzykiem cybernetycznym w całej Unii Europejskiej.

Dyrektywa NIS2

Rejestracja ważnych i kluczowych podmiotów

Istotnym elementem dyrektywy NIS2 jest też wymóg rejestracji ważnych i kluczowych podmiotów. Proces ten ma na celu usprawnienie identyfikacji i monitorowania podmiotów, które spełniają kryteria dyrektywy, co ułatwi egzekwowanie przepisów oraz szybkie reagowanie na incydenty.

Proces rejestracji obejmuje:

  • Podanie danych organizacji: Każdy podmiot musi dostarczyć podstawowe informacje, takie jak nazwa, adres, numer rejestracyjny, sektor lub podsektor w ramach NIS2, a także aktualne dane kontaktowe.
  • Rejestracja w państwach członkowskich: Podmioty muszą zidentyfikować, w których państwach członkowskich świadczą usługi objęte zakresem NIS2, i zarejestrować się w odpowiednich organach tych państw do określonego terminu, którym jest 17 kwietnia 2025 roku.

Nowe zasady w związku z wejściem dyrektywy NIS2?

Aby zgodnie z dyrektywą NIS2 zabezpieczyć swoją organizację przed cyberzagrożeniami i spełnić kryteria narzucone przez tę regulację, firmy muszą podjąć szereg konkretnych działań. Oto kluczowe kroki, które należy rozważyć w procesie dostosowania się do nowych wymogów:

Audyt zerowy (audyt luki)

Audyt zerowy nazywany także audytem luki polega na analizie i ocenie stopnia zgodności podmiotu z wymaganiami NIS2.  Główne cele audytu to identyfikacja obszarów, w których organizacja nie spełnia wymagań dyrektywy, oraz opracowanie rekomendacji i planu działania mającego na celu osiągnięcie pełnej zgodności. Audyt luki dyrektywy NIS2 jest kluczowym krokiem dla każdej organizacji, która chce zapewnić zgodność z nowymi regulacjami.

Analiza ryzyka

Kolejnym krokiem jest przeprowadzenie dogłębnej oceny ryzyka cyberbezpieczeństwa, która pomoże zidentyfikować potencjalne słabości w systemach i infrastrukturze. To również czas na zrozumienie, jakie dane są najbardziej narażone i jakie konsekwencje mógłby przynieść ich wyciek lub utrata. Analiza ryzyka służy także określeniu minimalnego zakresu wdrożenia i wyboru środków zapewniających wdrożenie NIS2.

Wdrażanie odpowiednich środków bezpieczeństwa

Na podstawie przeprowadzonego audytu i oceny ryzyka, organizacja powinna wdrożyć odpowiednie środki techniczne i organizacyjne. Może to obejmować zaktualizowane systemy zabezpieczeń, lepsze procedury autoryzacji i autentykacji, zaawansowane rozwiązania do wykrywania i reagowania na incydenty, a także regularne aktualizacje oprogramowania.

Raportowanie incydentów

Jednym z kluczowych aspektów dyrektywy NIS2 jest znaczące wzmocnienie wymagań dotyczących raportowania incydentów cyberbezpieczeństwa. Nowe przepisy zobowiązują kluczowe oraz ważne podmioty do informowania, bez nieuzasadnionej zwłoki, odpowiednich krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub właściwych organów o każdym incydencie mającym znaczący wpływ na świadczenie ich usług.

Procedura zgłaszania obejmuje:

  • Wczesne ostrzeżenie: Podmioty są zobowiązane do zgłoszenia wstępnego ostrzeżenia w ciągu 24 godzin od momentu wykrycia incydentu, wskazujące, czy incydent prawdopodobnie był wynikiem działania niezgodnego z prawem lub złośliwych działań, czy też może mieć wpływ transgraniczny.
  • Powiadomienie o incydencie: Następnie, w ciągu 72 godzin od zdobycia świadomości o incydencie, podmioty muszą dostarczyć aktualizację informacji zawartej we wczesnym ostrzeżeniu i przedstawić wstępną ocenę incydentu, w tym ocenę jego powagi i wpływu.
  • Raport pośredni: Na żądanie CSIRT lub właściwego organu, podmioty mogą być zobowiązane do dostarczenia raportu pośredniego.
  • Raport końcowy: Nie później niż miesiąc po zgłoszeniu incydentu, podmioty muszą dostarczyć szczegółowy opis incydentu, w tym prawdopodobną przyczynę incydentu, zastosowane środki zaradcze oraz wszelkie wpływy transgraniczne incydentu

Przeglądy, aktualizacje i audyty

Regularne przeglądy i audyty są niezbędne do utrzymania zgodności z dyrektywą NIS2. Pozwala to na bieżącą ocenę skuteczności wdrożonych środków oraz identyfikację obszarów wymagających poprawy. Nieodzownym elementem takiego wdrożenia jest proces związany z aktualizację zastosowanych procesów i zabezpieczeń.

Współpraca z innymi podmiotami

Wymiana informacji o zagrożeniach i najlepszych praktykach z innymi organizacjami i instytucjami może znacząco zwiększyć skuteczność działań związanych z cyberbezpieczeństwem. Współpraca ta jest również wymagana przez NIS2 i pomaga w budowaniu bardziej odpornego środowiska cyfrowego.

Oto najczęściej zadawane pytania dotyczące nowej Dyrektywy NIS 2:

  • Kto podlega dyrektywie NIS2? Dyrektywa NIS2 dotyczy „kluczowych podmiotów” oraz „ważnych podmiotów” w Unii Europejskiej. Kluczowe podmioty to te, które są niezbędne dla gospodarki i społeczeństwa UE, jak dostawcy usług komunikacji elektronicznej czy zarządzanie odpadami. Ważne podmioty to te, które nie spełniają kryteriów kluczowych podmiotów, ale są istotne z punktu widzenia funkcjonowania społeczeństwa i gospodarki​. Szczegółowe informacje znajdują się w załącznikach do Dyrektywy The NIS2 Directive  .
  • Jakie są główne różnice między NIS a NIS2? NIS2 znacznie rozszerza zakres podmiotów objętych dyrektywą w porównaniu do NIS, wprowadza surowsze kary i bardziej szczegółowe wymogi dotyczące zgodności oraz nadzoru. Obejmuje to także bardziej rozbudowane obowiązki dotyczące zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania incydentów.
  • Kiedy dyrektywa NIS2 wchodzi w życie? Dyrektywa NIS2 została formalnie opublikowana 27 grudnia 2022 roku i weszła w życie 16 stycznia 2023 roku. Państwa członkowskie mają czas do 18 października 2024 roku na wdrożenie jej przepisów do prawa krajowego​ ​.
  • Jakie są kluczowe wymogi NIS2? NIS2 wymaga od wszystkich objętych nią podmiotów wdrożenia minimalnego zestawu dziesięciu podstawowych elementów bezpieczeństwa w swoich politykach zarządzania ryzykiem cyberbezpieczeństwa. Obejmuje to zarządzanie incydentami, bezpieczeństwo łańcucha dostaw, obsługę i ujawnianie podatności oraz stosowanie kryptografii​​.
  • Czy podmioty spoza UE podlegają dyrektywie NIS2? Podmioty spoza UE, które świadczą usługi w UE, mogą być objęte dyrektywą NIS2. Dzieje się tak, gdy podmiot taki ma klienta (lub klienta klienta), który jest kluczowym lub ważnym podmiotem, co może wymagać od niego zgodności z przepisami NIS2 w przypadku cyberincydentu lub audytu​.
  • Jakie są konsekwencje nieprzestrzegania dyrektywy NIS2? Nieprzestrzeganie dyrektywy NIS2 może skutkować nałożeniem wysokich kar finansowych. Dla kluczowych podmiotów kary mogą sięgać do 10 milionów euro lub 2% światowego obrotu rocznego, a dla ważnych podmiotów do 7 milionów euro lub 1,4% światowego obrotu. Dodatkowo mogą być stosowane sankcje niepieniężne, takie jak nakazy wykonania zaleceń z audytu bezpieczeństwa​.
  • Jakie działania powinny podjąć organizacje w celu przygotowania się do zgodności z NIS2? Organizacje powinny zacząć od zidentyfikowania działów i filii, które podlegają zakresowi dyrektywy NIS2, ocenić obecne środki zarządzania ryzykiem i bezpieczeństwem cybernetycznym oraz wdrożyć wymagane zmiany. Ważne jest również nawiązanie współpracy z dostawcami i kluczowymi stronami trzecimi w celu zapewnienia zgodności z nowymi wymogami dotyczącymi zarządzania ryzykiem w łańcuchu dostaw​​.
  • Czy NIS2 wprowadza jakieś szczególne wymogi dla małych i średnich przedsiębiorstw (MŚP)? NIS2 generalnie koncentruje się na większych podmiotach, ale państwa członkowskie mogą decydować o rozszerzeniu wymogów na MŚP, jeśli te spełniają określone kryteria kluczowe dla gospodarki lub społeczeństwa. MŚP mogą być zobowiązane do stosowania określonych środków zarządzania ryzykiem, jeśli ich działalność jest uznana za istotną​​.
  • Jak NIS2 wpłynie na sektor finansowy? NIS2 obejmuje instytucje finansowe jako kluczowe podmioty, wymagając od nich wdrożenia szczegółowych środków zarządzania ryzykiem cybernetycznym i zgłaszania incydentów. Jednakże, podmioty finansowe podlegające równoważnym wymogom w ramach innych specyficznych dla sektora regulacji, takich jak DORA (Digital Operational Resilience Act), mogą być zwolnione z niektórych obowiązków NIS2, aby uniknąć dublowania regulacji​.
  • Jakie nowe obowiązki wprowadza NIS2 w zakresie zarządzania incydentami? NIS2 wymaga od kluczowych i ważnych podmiotów zgłaszania wszelkich istotnych incydentów cyberbezpieczeństwa do właściwych krajowych zespołów reagowania na incydenty (CSIRT) lub właściwych organów. Podmioty muszą dostarczać wstępne ostrzeżenie w ciągu 24 godzin, pełne powiadomienie w ciągu 72 godzin i ostateczny raport w ciągu miesiąca od wykrycia incydentu, co ma na celu szybsze reagowanie i lepsze zarządzanie kryzysowe​ (NIS2 Directive FAQ).

Dyrektywa NIS2 jest ważnym krokiem w kierunku zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej oraz ochrony interesów obywateli i przedsiębiorstw przed zagrożeniami cyfrowymi. Jednocześnie stanowi ona duże wyzwanie dla polskich firm, które będą musiały dostosować się do nowych wymogów i standardów.

Autor: Wiesław Krawczyński