W erze, w której technologia odgrywa kluczową rolę w naszym codziennym życiu, zapewnienie bezpieczeństwa w przestrzeni cyfrowej stało się równie istotne, co ochrona naszych fizycznych granic. Dyrektywa NIS 2, przyjęta 14 grudnia 2022 roku, wprowadza zaktualizowane regulacje dotyczące cyberbezpieczeństwa w Unii Europejskiej, a jej celem jest zwiększenie ochrony infrastruktury krytycznej oraz zminimalizowanie ryzyka cyberataków, które mogą dotknąć każdego z nas.
Choć może się wydawać, że dyrektywa ta odnosi się jedynie do wielkich korporacji, jej znaczenie wykracza daleko poza ten kontekst. NIS 2 wprowadza jednolite standardy bezpieczeństwa, mające na celu ochronę nie tylko organizacji, ale również jednostek krytycznych dla funkcjonowania społeczeństwa. Wszystko to stawia nas, jako codziennych użytkowników internetu, w lepszej pozycji, dając pewność, że nasze dane są chronione przed rosnącymi zagrożeniami cyfrowymi.
W niniejszym artykule przyjrzymy się bliżej Dyrektywie NIS 2, jej kluczowym założeniom oraz wpływowi na nasze życie cyfrowe. Jakie zmiany wprowadza? Jakie standardy ochrony wprowadza dla dostawców treści i usług? Poznajmy bliżej ten ważny krok w kierunku bezpieczniejszej przyszłości cyfrowej!
Oto zbiór najczęściej zadawanych pytań dotyczących dyrektywy NIS2.
Jakie podmioty są objęte obowiązkiem wdrożenia i stosowania NIS 2?
1. biblioteki publiczne
2. uczelnie niepubliczne
3. jednoosobowa działalność gosp. (zatrudniająca <5 osob) o działalności IT tworząca rozwiązania
chmurowe
4. mała firma (<10 pracownikow) sprzedająca oprogramowanie medyczne (działające w chmurze)
5. podmiot, ktory zatrudnia powyżej 50 pracownikow, ale ma obroty poniżej 10 mln euro będzie
musiał wdrożyć politykę NIS 2? i odwrotnie – podmiot, ktory nie zatrudnia 50 pracownikow, ale
posiada obroty 10 mln euro
6. społka prawa handlowego sp. z o.o. społka miejska mająca 200 pracownikow
7. firma produkująca farby wewnętrzne i elewacyjne
8. wytworcy energii z OZE niezatrudniający pracownikow
9. Domy Pomocy Społecznej
10. producent farmaceutykow dedykowanych do leczenia szpitalnego
11. dysponent zespołow ratownictwa medycznego
Czy można samodzielnie zrobić audyt w zakładzie strategicznym?
Dyrektywa NIS 2 nie używa pojęcia „zakład strategiczny” ani nie precyzuje szczegółowych wymagań dotyczących audytu. W dokumencie tym zidentyfikowano sektory ważne i kluczowe oraz pojęcie podmiotu ważnego i kluczowego. Polskie przepisy operują pojęciem „kluczowe”, nawiązując do rozporządzenia Rady Ministrów z 2010 roku o spółkach i jednostkach działających w obszarze bezpieczeństwa państwa.
Do kiedy przedsiębiorstwa mają obowiązek wdrożyć politykę NIS 2?
Dyrektywa NIS 2 weszła w życie 16 stycznia 2023 r., a państwa członkowskie Unii Europejskiej mają czas do 17 października 2024 r. na wdrożenie jej postanowień. Przedsiębiorstwa objęte tym obowiązkiem powinny dostosować swoje systemy do nowych wymagań w tym terminie. W Polsce wdrożenie NIS 2 będzie regulowane przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która powinna zostać uchwalona w 2025 r. W związku z tym podmioty powinny monitorować krajowe regulacje i przygotować się do wdrożenia wymaganych polityk, aby spełnić wymogi prawne po wejściu w życie UKSC.
Kto z poniższych podmiotów należy do sektorów ważnych?
- Producenci urządzeń chłodniczych –
- Przedsiębiorcy działający w sektorze restauracyjnych – sektor: produkcja przetwarzanie i dystrybucja żywności
+ sektory takie jak: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja wytwarzanie i dystrybucja chemikaliów, badania naukowe
Czy decyzja o przynależeniu do sektora będzie podejmowana w oparciu o PKD, czy w oparciu o faktyczną działalność społki?
NIS 2 przyjmuje zasadę samookreślenia podmiotów (z wyjątkami). W związku z tym, w ocenie autorów, decyzję o przynależności podmiotu do wskazanego sektora, a także stosowaniu się do NIS 2 podejmuje sam podmiot, na podstawie faktycznej działalności spółki.
Co rozumiemy pod pojęciem zarządzania usługami ICT?
Zarządzanie usługami ICT znajduje się w załączniku I dyrektywy NIS 2, dotyczącej kluczowych sektorów. Wskazano tam dostawców usług zarządzanych (MSP), odpowiedzialnych za zdalne zarządzanie i dostarczanie usług ICT oraz usług w zakresie bezpieczeństwa.
Dyrektywa NIS 2 odnosi się także do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881, które definiuje usługi ICT jako te, które polegają głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych.
Sieci informatyczne obejmują systemy transmisyjne oraz urządzenia, takie jak routery i przełączniki, które umożliwiają przesyłanie sygnałów za pomocą różnych mediów, w tym przewodów, radiowych, optycznych oraz satelitarnych. Zgodnie z definicją, obejmują także wszelkie urządzenia i systemy przetwarzające dane cyfrowe.
Czy jako podmiot objęty obowiązkiem wdrożenia NIS 2, ale jako podmiot ważny, a nie kluczowy, mam obowiązek zgłosić się do jakiegoś rejestru? Jeśli tak, to gdzie mogę go znaleźć i jakie są terminy takiego zgłoszenia?
Znalezienie się w rejestrze podmiotów nie jest związane faktem bycia ważnym czy kluczowym, a obecności podmiotu w enumeratywnym wyliczeniu z art. 27 NIS 2. Dyrektywa ta wskazuje rejestr podmiotów, który dotyczy dostawców usługi DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, jak również dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych, na podstawie informacji otrzymanych z pojedynczych punktów kontaktowych, zgodnie z ust. 4. Rejestr tworzy i prowadzi ENISA. Do 17.01.2025 r. państwa członkowskie wymagają od wskazanych powyżej podmiotów przedłożenia właściwym organom odpowiednich informacji do rejestracji.
Czy jeśli klient mojej kancelarii prawnej musi stosować NIS 2, to ja – jako jego kancelaria (indywidualna działalność gospodarcza) – też muszę?
Kancelaria prawna świadcząca usługi dla klientów objętych dyrektywą NIS 2 nie jest automatycznie zobowiązana do wdrożenia jej wymogów, gdyż dyrektywa dotyczy bezpośrednio tylko podmiotów kluczowych i ważnych z określonych sektorów. Kancelaria, działająca jako indywidualna działalność gospodarcza, nie należy do tych sektorów, chyba że świadczy usługi cyfrowe.
Jednakże, jeśli w trakcie świadczenia usług dla klienta przetwarza poufne dane lub korzysta z jego systemów informatycznych, może być zobowiązana do przestrzegania umownych postanowień dotyczących standardów bezpieczeństwa, które klient musi wdrożyć w relacjach z innymi partnerami biznesowymi.
Podsumowując, NIS 2 nie nakłada obowiązków na kancelarię prawną, chyba że działa ona w objętym sektorem. Niemniej jednak, mogą pojawić się obowiązki wdrożenia dodatkowych środków bezpieczeństwa w ramach współpracy z klientem, zgodnie z umową o zachowanie standardów cyberbezpieczeństwa.
Czy istnieje jakaś konkretna lista obowiązków do spełnienia ze strony IT?
Na podstawie NIS 2 można zrekonstruować listę obowiązków, która obejmie działy IT w podmiotach, które znajdą się w zakresie działania NIS 2. Są to:
5. zarządzanie ryzykiem – należy wdrożyć proporcjonalne środki zarządzania ryzykiem w cyberbezpieczeństwie uwzględniające ryzyko, wielkość podmiotu oraz prawdopodobieństwo wystąpienia incydentu;
6. zgłaszanie incydentow – działy IT będą musiały współpracować w kwestii zgłaszania poważnych incydentów do odpowiedniego organu;
7. realizacja szkoleń – zespoły IT będą mogły być włączone w kwestie realizacji obowiązkowych szkoleń dla kadry kierowniczej oraz zaleceń dla wszystkich pracowników;
8. powiadamianie odbiorcow usług – w stosownych sytuacjach działy IT będą włączone w powiadamianie odbiorców usług o poważnych incydentach oraz środkach zaradczych;
9. usługi, produkty i procesy IT – jednym z wymogów NIS 2 jest stosowanie certyfikowanych produktów, usług i procesów IT. Zgodnie z dyrektywą mogą to być produkty, usługi i procesy zarówno nabyte, jak i własne;
10. zawiadamianie – zespoły IT będą zaangażowane w zawiadamianie ouczestnictwie w mechanizmach wymiany informacji
Czy mając aktualne polityki bezpieczeństwa i inne, mając jednocześnie wszystkie zabezpieczenia, musimy coś więcej robić (bez zewnętrznego audytu)?
Na czas implementacji należy weryfikować kwestie związane z implementacją NIS 2 do krajowego porządku prawnego. Sama NIS 2 nakłada sześć głównych obowiązków: proporcjonalne środki zarządzania ryzykiem w cyberbezpieczeństwie; zgłaszanie poważnych incydentów; obowiązkowe szkolenia; powiadamianie odbiorców usług o poważnych incydentach, stosowanie własnych lub nabytych certyfikowanych produktów, usług i procesów ICT, a także korzystanie z kwalifikowanych usług zaufania (zalecane); zawiadamianie o uczestnictwie w mechanizmach wymiany informacji. Wszystkie te obowiązki mogą być uszczegółowione na gruncie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która implementuje NIS 2.
Jaki okres NIS 2 i ustawa krajowa przewidują na wdrożenie wszystkich wymagań cyberbezpieczeństwa?
Zgodnie z dyrektywą NIS 2, państwa członkowskie UE muszą wdrożyć jej przepisy do krajowego prawa najpóźniej do 17 października 2024 r. Organizacje objęte dyrektywą powinny już teraz dostosowywać swoje polityki i zabezpieczenia. Po implementacji będą miały dodatkowe 12 miesięcy na pełne wdrożenie wymagań, zamiast wcześniejszych 6 miesięcy. Ważne, aby przedsiębiorstwa zaczęły wdrażać środki bezpieczeństwa, takie jak zarządzanie ryzykiem, procedury raportowania incydentów, polityki ciągłości działania oraz bezpieczeństwo łańcucha dostaw. Szybkie rozpoczęcie działań pomoże uniknąć kar za nieprzestrzeganie przepisów po upływie terminu. Źródła sugerują, że proces wdrożenia wszystkich wymagań może zająć do 12 miesięcy, dlatego organizacje powinny podjąć działania już teraz w kierunku zgodności z NIS 2.
Kamil Boruta – radca prawny, Oliwia Synowiec
