Dyrektywa NIS 2, czyli jak zapewnić wyższy poziom cyberbezpieczeństwa w Unii Europejskiej

Podmioty objęte wymogami dyrektywy NIS 2

W zależności od znaczenia poszczególnych sektorów i rodzaju świadczonych usług dyrektywa NIS 2 wyróżnia dwie kategorie organizacji objętych zakresem jej stosowania – podmioty kluczowe oraz podmioty ważne. Takie podmioty kwalifikują się co najmniej jako średnie przedsiębiorstwo, czyli zatrudniają co najmniej 50 osób i osiągają obroty roczne i/lub roczną sumę bilansową w wysokości co najmniej 10 mln EUR. Dyrektywa NIS 2 obejmuje również duże przedsiębiorstwa, zatrudniające co najmniej 250 pracowników i osiągające obroty roczne przekraczające 50 mln EUR i/lub roczną sumę bilansową przekraczającą 43 mln EUR. Jest jednak ważny wyjątek. Dyrektywa NIS 2 ma zastosowanie do niektórych podmiotów niezależnie od ich wielkości. Wśród nich znajdują się podmioty świadczące usługi rejestracji nazw domen, dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej.

Dyrektywa NIS 2 przewiduje, że do 17 kwietnia 2025 r. państwa członkowskie ustanowią wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen (DNS). W tym celu podmioty te przekażą dane adresowe i kontaktowe, nazwy sektora i podsektora oraz wykaz państw członkowskich, w których świadczą usługi. Każda zmiana w tym zakresie będzie wymagać zgłoszenia w terminie dwóch tygodni. Państwa członkowskie mogą ustanowić również krajowe mechanizmy umożliwiające samodzielną rejestrację.

Do 17 kwietnia 2025 r., a następnie okresowo – co dwa lata właściwe organy są zobowiązane powiadamiać Komisję Europejską i Grupę Współpracy o liczbie podmiotów kluczowych i ważnych w każdym sektorze i podsektorze oraz przekazywać istotne informacje na temat tych podmiotów (sektor, podsektor, rodzaj świadczonej usługi).

Obowiązki podmiotów kluczowych i ważnych

Dyrektywa NIS 2 wprowadza katalog obowiązków podmiotów kluczowych i ważnych. Jednocześnie przewiduje, że zastosowane środki mają zależeć od specyfiki danej organizacji. Oto rodzaje tych obowiązków:

1. wprowadzenie środków zarządzania ryzykiem w cyberbezpieczeństwie, uwzględniających ryzyko, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość (art. 20 i art. 21) – analiza ryzyka musi być dynamiczna, a więc powinna uwzględniać zmiany techniczne, legislacyjne oraz nowe zagrożenia,;
2. obowiązkowe szkolenia dla kadry kierowniczej i zalecane szkolenia dla innych pracowników (art. 20);
3. zgłaszanie poważnych incydentów do właściwych organów (art. 23);
4. w stosownych wypadkach – powiadamianie odbiorców usług o incydentach (art. 23);
5. powiadamianie właściwych organów o uczestnictwie w mechanizmach wymiany informacji lub o wycofaniu się z takich mechanizmów (art. 29);
6. stosowanie konkretnych, własnych lub nabytych certyfikowanych produktów, usług i procesów technologii informacyjno-telekomunikacyjnych – ICT (art. 24).

Nasz komentarz: Realizacja obowiązków wskazanych w art. 23 dyrektywy NIS 2 może być wyzwaniem ze względu zarówno na konieczność posiadania szczegółowej wiedzy w tym zakresie, jak i na krótki termin powiadamiania o incydentach. Pierwsze  ostrzeżenie powinno być przekazane w terminie 24 godzin, przy czym dla niektórych podmiotów jest to także termin na właściwe zgłoszenie incydentu (chociaż co do zasady są to 72 godziny).

Środki zarządzania ryzykiem

Jednym z podstawowych obowiązków jest wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Ma to na celu zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych oraz zapobieganie wpływowi incydentów na odbiorców usług lub ograniczanie takiego wpływu.

Omawiane środki bazują na podejściu uwzględniającym wszystkie zagrożenia. Celem takiego podejścia jest ochrona sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Dokładne przepisy regulujące obowiązki podmiotów określi prawodawstwo krajowe. Dyrektywa NIS 2 wskazuje jedynie niezbędne minimum środków zmierzających do ograniczenia ryzyka wystąpienia incydentu bezpieczeństwa, które muszą zostać zapewnione przez każdy podmiot objęty jej zakresem.

Prawodawca unijny nie skonkretyzował środków dla każdej grupy podmiotów. Dopuścił w tym zakresie pewną elastyczność, zastrzegając przy tym, że ocena proporcjonalności tych środków musi uwzględniać stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.

Podmiot, który stwierdzi, że nie spełnia w omawianym zakresie wymogów dyrektywy NIS 2, będzie zobowiązany do bezzwłocznego zastosowania odpowiednich i proporcjonalnych środków naprawczych. Jak wspomniano, środki zarządzania ryzykiem powinny uwzględniać wszystkie zagrożenia i mieć na celu ochronę sieci i systemów informatycznych, w tym ich środowiska fizycznego, przed incydentami (art. 21 ust. 2). Powinny więc obejmować co najmniej:

1. politykę analizy ryzyka i bezpieczeństwa systemów;
2. obsługę incydentu (wykrywanie i reagowanie);
3. ciągłość działania i zarządzanie kryzysowe;
4. bezpieczeństwo łańcucha dostaw (w tym aspekty związane z bezpieczeństwem stosunków między podmiotem a jego dostawcami lub usługodawcami);
5. bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów, w tym obsługi i ujawniania podatności;
6. polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem;
7. podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
8. polityki i procedury stosowania kryptografii, a w stosownych przypadkach również szyfrowania;
9. bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
10. w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Środki zarządzania ryzykiem w cyberbezpieczeństwie mają być zatwierdzane przez organy zarządzające podmiotu. Aby prawidłowo realizować te obowiązki, organy te zostały zobligowane do odbywania regularnych szkoleń, przy czym postuluje się oferowanie szkoleń także innym pracownikom.

Nasz komentarz: Ze względu na brak wytycznych i metodyki postępowania w zakresie zarządzania ryzykiem w cyberbezpieczeństwie obecnie trudno jednoznacznie stwierdzić, jak należy ukształtować poszczególne instrumenty z tym związane.

Zgodnie z art. 21 ust. 5 dyrektywy NIS 2 Komisja Europejska do 17 października 2024 r. określi wymogi techniczne i metodyki dotyczące opisanych powyżej środków. Będą one odnosić się do następujących podmiotów: dostawców usług DNS, rejestrów nazw domen najwyższego poziomu (TLD), dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych oraz platform sieci społecznościowych i dostawców usług zaufania.  Komisja Europejska może określić wymogi odnoszące się również do innych niż wymienione powyżej podmiotów kluczowych i ważnych.

Szkolenia w zakresie cyberbezpieczeństwa

Dyrektywa NIS 2 kładzie wyjątkowo duży nacisk na kwestie związane ze szkoleniami w zakresie cyberbezpieczeństwa. Warto przywołać chociażby następujące zalecenia:

1. motyw 89 zgodnie z którym podmioty kluczowe i ważne powinny przyjąć szeroki wachlarz podstawowych praktyk dotyczących cyberhigieny, takich jak podnoszenie świadomości użytkowników, a także powinny organizować szkolenia dla pracowników oraz szerzyć wiedzę na temat cyberzagrożeń, phishingu lub technik inżynierii społecznej
2. 

   E-learning RODO to już standard!

   Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.

   ZOBACZ WIĘCEJ
   20 ust. 2 zgodnie z którym regularne szkolenia dla członków organów zarządzających podmiotów kluczowych i ważnych mają być obowiązkowe. Szkolenia mają dostarczać wiedzy i umiejętności pozwalających rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot. Państwa członkowskie mają także zachęcać podmioty kluczowe i ważne do oferowania podobnych szkoleń swoim pracownikom;
3. 21 ust. 2 zgodnie z którym środki zarządzania ryzykiem obejmują między innymi szkolenia w zakresie cyberbezpieczeństwa;
4. motyw 51 zgodnie z którym w krajowych strategiach cyberbezpieczeństwa państwa członkowskie powinny zachęcać do działań badawczo-rozwojowych mających ułatwiać korzystanie z innowacyjnych  technologii, w szczególności związanych z automatycznymi lub półautomatycznymi narzędziami w dziedzinie cyberbezpieczeństwa, oraz – w stosownych przypadkach – wymianę danych potrzebnych do szkolenia użytkowników takiej technologii i do jej doskonalenia.

Zgłaszanie naruszeń (incydentów)

Obowiązkiem każdego państwa członkowskiego jest zapewnienie tego, że podmioty kluczowe i ważne bez zbędnej zwłoki będą zgłaszały swoim właściwym zespołom reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub – jeżeli ma to zastosowanie – swoim właściwym organom, poważny incydent mający istotny wpływ na świadczenie przez nie usług. Zgodnie z art. 23 ust. 4 dyrektywy NIS 2 do celów zgłoszenia podmiot powinien przedłożyć CSIRT lub właściwemu organowi:

1. bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskaże, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny;
2. bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – zgłoszenie incydentu, w którym w stosownych przypadkach zaktualizuje informacje, o których mowa wyżej, i wskaże wstępną ocenę poważnego incydentu, w tym jego dotkliwości i skutków, a  także (jeżeli ma to zastosowanie) wskaźniki integralności systemu. Na zasadzie odstępstwa dostawca usług zaufania zgłasza poważne incydenty bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia informacji o takim poważnym incydencie;
3. na wniosek CSIRT lub właściwego organu – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu;
4. nie później niż miesiąc po zgłoszeniu incydentu – sprawozdanie końcowe,

Jeżeli incydent nie zakończy się w terminie składania sprawozdania końcowego,  podmiot przedstawi sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia obsługi incydentu.

W stosownych przypadkach podmioty kluczowe i ważne będą powiadamiały również odbiorców swoich usług, których potencjalnie dotyczy poważne cyberzagrożenie, o takiej sytuacji  oraz o środkach zaradczych lub innych, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie.

Obowiązki właściwych organów w przypadku naruszenia ochrony danych osobowych

Sposób działania właściwych organów w przypadku, gdy naruszenie obowiązków przez podmiot kluczowy lub ważny może pociągać za sobą naruszenie ochrony danych osobowych, określa art. 35 dyrektywy NIS 2. Zgodnie z nim jeżeli w czasie nadzoru lub egzekwowania przepisów właściwy organ poweźmie wiedzę o takim naruszeniu, bez zbędnej zwłoki poinformuje o tym organ nadzorczy ustanowiony na mocy RODO.

Jeżeli wspomniany organ nadzorczy nałoży administracyjną karę pieniężną za naruszenie przepisów RODO, właściwe organy w rozumieniu dyrektywy nie nakładają administracyjnej kary pieniężnej za naruszenie wynikające z tego samego zachowania, za które nałożono już administracyjną karę pieniężną na podstawie RODO. Mogą jednak zastosować środki egzekwowania przepisów określone w dyrektywie NIS 2 ( jak wydawanie wiążących poleceń albo nakazów zobowiązujących dane podmioty do naprawienia stwierdzonych uchybień).

Podsumowanie

W porównaniu z poprzednią wersją dyrektywa NIS 2 zwiększa zakres objętych nią podmiotów oraz zakres ich obowiązków. Państwa członkowskie UE mają 21 miesięcy na wdrożenie dyrektywy NIS 2 do porządku krajowego, licząc od daty przyjęcia, co oznacza, że muszą to zrobić do 17 października 2024 r. Dyrektywa NIS 2 wyróżnia dwie podstawowe kategorie organizacji objętych zakresem jej stosowania – podmioty kluczowe  i ważne. Jednym z podstawowych obowiązków tych podmiotów jest wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych. Środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami. Organy zarządzające podmiotów objętych wymogami dyrektywy NIS 2 zostały zobligowane do regularnych szkoleń w zakresie cyberbezpieczeństwa. Wszystko to ma na celu zwiększenie w Europie odporności na cyberzagrożenia poprzez ustanowienie wspólnych standardów bezpieczeństwa.