Unia Europejska zwraca coraz większą uwagę na aspekty cyberbezpieczeństwa w Państwach Członkowskich. Odpowiedzią na rosnące zagrożenia w cyberprzestrzeni jest przyjęcie nowej Dyrektywy NIS 2 (Network and Information Security 2). Zastępuje ona dotychczasową Dyrektywę NIS 1, rozszerza krąg podmiotów nią objętych i ustanawia nowe obowiązki dla przedsiębiorców.
Zgodnie z Dyrektywą NIS 2, nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r. Polska przewiduje uchwalenie projektu ustawy na 2025 r.
Poniższe opracowanie rozpoczyna serię wpisów na temat obowiązków i sankcji wynikających z nowej Dyrektywy NIS 2 oraz z projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. W tej części wpisów przedstawimy ogólne informacje na temat Dyrektywy NIS 2 oraz wskażemy podmioty, których dotyczy.
Czym jest Dyrektywa NIS 2?
Dyrektywa NIS 2, czyli Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, ma na celu wzmocnienie ochrony cybernetycznej w Unii Europejskiej. Powyższe ma zostać osiągnięte poprzez ujednolicenie w całej Uniii standardów bezpieczeństwa informatycznego i dostosowanie ich do nowych zagrożeń. Jest to związane z ciągłym wzrostem cyberprzestępczości.
Dyrektywa NIS 2 Ustanawia ogólne standardy w zakresie cyberbezpieczeństwa dla podmiotów kluczowych i ważnych.
Kogo dotkną nowe regulacje?
Zarówno Dyrektywa NIS 2, jak i nowelizacja ustawy o uKSC rozszerzają krąg podmiotów, które będą objęte nowymi wymogami w stosunku do dotychczas obowiązującej Dyrektywy NIS 1. Wprowadzony został podział na podmioty kluczowe i ważne. Zgodnie z regułą wyrażoną w projekcie nowelizacji uKSC podmioty kluczowe to podmioty wymienione w załączniku I do uKSC będące co najmniej dużym przedsiębiorcą, a podmioty ważne to podmioty wymienione w załączniku I lub załączniku II do uKSC będące co najmniej średnim przedsiębiorcą.
Za średnie przedsiębiorstwa uznaje się przedsiębiorstwa, które zatrudniają co najmniej 50 pracowników lub których roczny obrót i/lub roczna suma bilansowa są większe niż 10 mln euro. Natomiast duży przedsiębiorca to ten, który zatrudnia 250 lub więcej pracowników, albo ten, który pomimo mniejszej liczby zatrudnionych przekroczył oba kryteria finansowe (roczny obrót przekracza 50 milionów euro, a całkowity bilans roczny – 43 miliony euro).
| Załącznik I | Załącznik II |
| energia (wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa gaz i energetyka jądrowa, wodór) | usługi pocztowe |
| transport (transport lotniczy, transport kolejowy, transport wodny lub transport drogowy) | gospodarowanie odpadami (zbieranie odpadów, transport odpadów, przetwarzanie odpadów, działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami) |
| bankowość i infrastruktura rynków finansowych | produkcja, wytwarzanie i dystrybucja chemikaliów |
| ochrona zdrowia (udzielanie świadczeń zdrowotnych i zdrowie publiczne, produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych) | produkcja, wytwarzanie i dystrybucja żywności |
| zaopatrzenie w wodę pitną | produkcja w pozostałym zakresie (wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowanych, pojazdów samochodowych, przyczep i naczep, pozostałego sprzętu transportowego) |
| zbiorowe odprowadzanie ścieków | badania naukowe |
| infrastruktura cyfrowa | dostawca usług cyfrowych |
| zarządzanie usługami ICT | |
| przestrzeń kosmiczna | |
| podmiot publiczny |
Zmiany obejmą jednakże również podmioty niespełniające wymogów wielkościowych, czyli podmioty mniejsze niż średnie przedsiębiorstwa. Dotyczy to:
- dostawców usług DNS;
- dostawców usług zaufania (np. podpisy elektroniczne);
- inwestorów lub operatorów obiektów energetyki jądrowej;
- podmiotów krytycznych;
- podmiotów kluczowych;
- podmiotów publicznych;
- podmiotów prowadzących rejestr nazw domen najwyższego poziomu (TLD);
Również Ministerstwo Cyfryzacji może zdecydować w drodze decyzji, że określone państwowe osoby prawne będą objęte obowiązkami wynikającymi z Dyrektywy NIS 2. Ministerstwo kwalifikuje wówczas dany podmiot jako podmiot kluczowy, jeżeli spełni szczególne kryteria. Taka kwalifikacja może wynikać z oceny roli firmy dla społeczeństwa, gospodarki, konkretnych sektorów lub rodzajów usług, jeśli zadania publiczne, które realizuje mają istotne znaczenie na poziomie krajowym lub których zakłócenie spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, obronności lub zdrowia publicznego.
Najważniejsze zmiany wprowadzone przez Dyrektywę NIS 2
- Szerszy zakres podmiotów objętych regulacją – Dyrektywa NIS 2 rozszerza, w stosunku do wcześniej obowiązującej Dyrektywy NIS 1, zakres podmiotów objętych regulacjami o m. in. dostawców usług cyfrowych, sektor produkcji, który m.in. obejmuje produkcję komputerów, wyrobów elektronicznych i optycznych i sektor badań naukowych;
- Obowiązek zarządzania ryzykiem cybernetycznym – nowe przepisy nakładają na podmioty obowiązek wprowadzenia środków technicznych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem;
- Raportowanie incydentów – podmioty będą zobowiązane do zgłaszania incydentów bezpieczeństwa w ciągu 24 godzin od ich wykrycia, co wymaga zwiększenia gotowości operacyjnej i wprowadzenia systemów monitorowania.
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa
Celem implementacji unijnych regulacji do systemu prawa polskiego zostanie znowelizowana uKSC. Nowelizacja ma na celu dostosowanie krajowego prawa do europejskich standardów. Jednakże polski ustawodawca wprowadza zmiany w stosunku do Dyrektywy NIS 2, m. in. rozszerzając lub modyfikując katalog podmiotów, które muszą dostosować się do wymogów w zakresie cyberbezpieczeństwa. W niektórych przypadkach nowelizacja uKSC może obejmować także małe i średnie przedsiębiorstwa, które w ramach NIS 2 byłyby one zwolnione z takich obowiązków.
Na skutek uzgodnień, konsultacji publicznych i opiniowanii do pierwszego projektu nowelizacji ustawy zostało zgłoszonych 1 567 uwag. Uwagi te zostały już rozpatrzone i opublikowany został nowy projekt nowelizacji ustawy. Dzięki temu np. wydłużono czas na zgłoszenie wczesnego ostrzeżenia przez przedsiębiorców telekomunikacyjnych z 12h na 24h.
Podsumowanie
Dyrektywa NIS 2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadzają szereg zmian, które mają na celu poprawę ochrony infrastruktury i cyberbezpieczeństwa w Unii Europejskiej, w tym w Polsce. Nowe przepisy oznaczają konieczność dostosowania się przez przedsiębiorstwa działające w kluczowych sektorach do wyższych standardów zarządzania ryzykiem oraz obowiązków raportowania incydentów.
Aby skutecznie dostosować się do nowych wymogów, warto już teraz przeprowadzić audyt istniejących systemów cyberbezpieczeństwa i wdrożyć odpowiednie środki ochrony. Pomożemy ocenić, czy Twoja spółka jest objęta Dyrektywą NIS 2, a także dostosować ją do nowych wymogów. Skontaktuj się z nami, aby poznać szczegóły!
Autor: Agnieszka Stasiak