Cyberbezpieczeństwo: zmiany w 2024 r.

Jednym z kluczowych elementów z perspektywy cyberbezpieczeństwa w Polsce jest wdrożenie do polskiego porządku dyrektywy Parlamentu Europejskiego i Rady UE 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Zmienia ona rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchyla dyrektywę (UE) 2016/1148 („dyrektywa NIS2”) i ma na celu zharmonizowanie (ujednolicenie) zasad dotyczących cyberbezpieczeństwa we wszystkich państwach członkowskich Unii Europejskiej.

Dyrektywa NIS2 – zakres podmiotowy

Przykładem powyższego ujednolicenia jest rezygnacja z dotychczasowego podziału na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne (ta ostatnia kategoria została wprowadzona obecną ustawą o krajowym systemie cyberbezpieczeństwa). Powodem tej decyzji jest fakt, że wcześniejsze rozróżnienie nie odzwierciedlało znaczenia danych sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym. Wobec powyższego, zastosowanie dyrektywy NIS2 zostało rozszerzone o inne sektory. Wprowadzono w niej jasne kryterium, znajduje ona bowiem zastosowanie do podmiotów publicznych i prywatnych, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich przedsiębiorstw. W konsekwencji dyrektywa NIS2 będzie miała zastosowanie do przedsiębiorstw, które zatrudniają co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro. Niemniej jednak warto mieć na uwadze, że omawiany akt prawny znajduje zastosowanie do podmiotów mających charakter krytyczny (np. dostawców usług DNS czy dostawców usług chmurowych).

Dyrektywa NIS2 wprowadza nowy podział na podmioty kluczowe i podmioty ważne. Podmioty kluczowe można określić jako te, które z definicji są kluczowe do działania gospodarki. W załączniku I wskazano sektory, w których działają podmioty kluczowe: (i) energetyka, (ii) transport, (iii) bankowość, (iv) infrastruktura rynków finansowych, (v) opieka zdrowotna, (vi) woda pitna, (vii) ścieki, (viii) infrastruktura cyfrowa, (ix) zarządzanie usługami ICT (między przedsiębiorstwami) oraz (x) podmioty administracji publicznej. Warunkiem zakwalifikowania podmiotu jako kluczowego jest kryterium ilościowe, tj. musi on zatrudniać więcej niż 250 osób, a jego roczny obrót nie przekracza 50 mln euro / roczna suma bilansowa nie przekracza 43 mln euro.

Podmioty, które nie spełniają warunków do uznania ich za kluczowe, kwalifikuje się jako ważne. Będą do nich należały podmioty średnie, które działają w sektorach kluczowych, jak również podmioty średnie lub duże, które działają w sektorach określonych w załączniku II do dyrektywy NIS2, tzn. w sektorach (i) usług pocztowych i kurierskich, (ii) gospodarowania odpadami, (iii) produkcji, wytwarzania i dystrybucji chemikaliów, (iv) produkcji, przetwarzania i dystrybucji żywności, (v) produkcji, (vi) dostarczania usług cyfrowych, (vii) badań naukowych.

Analizując powyższy podział, należy jednak mieć na uwadze, że dyrektywa NIS2 wprowadza liczne odstępstwa, które mają znaczenie przy kwalifikacji danego podmiotu jako kluczowego lub ważnego.

Dyrektywa NIS2 – nowe obowiązki

Od podmiotów objętych dyrektywą NIS2 oczekuje się zachowania wysokich standardów w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, jak również w zakresie cyberbezpieczeństwa. Wynika to z nałożenia na nie szeregu obowiązków.

Podmioty, do których mają zastosowanie przepisy dyrektywy NIS2, zobowiązane są przede wszystkim do wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Oceniając proporcjonalność tych środków, powinno uwzględniać się stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.

Ważny jest także obowiązek zgłaszania incydentów. Podmioty kluczowe i ważne muszą wysłać wstępne ostrzeżenie w ciągu 24 godzin od wykrycia poważnego incydentu. Za poważny uznaje się incydent, który doprowadził lub może doprowadzić do zakłóceń usług lub stanowi zagrożenie dla tego podmiotu lub innych osób albo który spowodował u nich ich znaczne szkody majątkowe i niemajątkowe). Następnie, w ciągu 72 godzin, podmioty te muszą wysłać zgłoszenie. Konieczne jest też przekazanie raportu końcowego najpóźniej w ciągu miesiąca po zgłoszeniu incydentu lub jego rozwiązaniu.

Warto również podkreślić, że członkowie organów zarządzających podmiotami kluczowymi i ważnymi będą mieli obowiązek odbywania regularnych szkoleń w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie, a także ich wpływ na usługi świadczone przez dany podmiot.

Wdrożenie dyrektywy NIS2

Polska, jak również pozostałe kraje członkowskie UE, pracuje aktualnie nad wdrożeniem dyrektywy NIS2. Termin na jej wdrożenie upływa 17 października 2024 r. W wykazie prac legislacyjnych i programowych Rady Ministrów pojawił się projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, który ma na celu zharmonizowanie regulacji polskich z regulacją unijną. Planowany termin przyjęcia projektu to III kwartał 2024 r.

Podsumowanie

Dyrektywa NIS2 wprowadza szereg obowiązków dla podmiotów, które należy zakwalifikować jako kluczowe lub ważne. Termin na jej implementację, jak wspomniano, upływa w październiku, jednak już teraz należy przedsięwziąć odpowiednie działania, ponieważ dostosowanie zasad prowadzenia przedsiębiorstwa do nowych przepisów niewątpliwie będzie wymagało dużego wysiłku organizacyjnego.

Przypisy:

1. Link do treści Strategii Cyberbezpieczeństwa RP na lata 2019-2024: https://www.dziennik­ustaw.gov.pl/M2019000103701.pdf

 Polska, jak również pozostałe kraje członkowskie UE, pracuje aktualnie nad wdrożeniem dyrektywy NIS2. Termin na jej wdrożenie upływa 17 października 2024 r.

 Dyrektywa NIS2 wprowadza nowy podział na podmioty kluczowe i podmioty ważne. Podmioty kluczowe można określić jako te, które z definicji są kluczowe do działania gospodarki.

Adrian Chodyna

Specjalizuje się w prawie własności intelektualnej, ze szczególnym uwzględnieniem prawa autorskiego, prawa reklamy i mediów. Doradza także w zakresie ochrony wizerunku oraz ochrony renomy i dobrego imienia. Zaangażowany w prowadzenie spraw sądowych dotyczących naruszenia dóbr osobistych osób fizycznych i prawnych, jak również w postępowania z zakresu ochrony praw własności intelektualnej oraz zwalczania nieuczciwej konkurencji. W portfolio zawodowym ma także obsługę podmiotów z branży kreatywnej. Prowadzi również bieżącą obsługę prawną producentów filmowych i telewizyjnych. Kontakt: a.chodyna@skplaw.pl. Strony internetowe: www.skplaw.pl, www.skpipblog.pl. 

source: Automatyka 6/2024