Dyrektywa NIS2 – najważniejsze informacje

Parlament Europejski zmodernizował przepisy w odpowiedzi na dynamiczną cyfryzację życia i biznesu oraz rosnący poziom cyberzagrożeń. Celem nowej dyrektywy jest zwiększenie bezpieczeństwa cyfrowego, w tym poprawa odporności i zdolności reagowania na incydenty, podmiotów publicznych i prywatnych, właściwych organów państwowych i całej UE, a przy tym zapewnienie większego bezpieczeństwa odbiorcom świadczonych usług – wszystkim obywatelom UE.

Uchwalone niedawno bardziej precyzyjne przepisy wzmacniają między innymi wymogi związane z zarządzeniem ryzykiem przez przedsiębiorstwa, a także usprawnią reagowanie, zarządzanie i obowiązki raportowania incydentów bezpieczeństwa. Dyrektywa NIS2, czyli właściwy dokument o nazwie „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148” obowiązuje od 16 stycznia 2023 roku.

• Zasadnicze modyfikacje w katalogu podmiotów podlegających dyrektywie, wprowadzenie tylko podmiotów kluczowych i ważnych.
• Zrównanie obowiązków podmiotów kluczowych oraz podmiotów ważnych dotyczące cyberbezpieczeństwa.
• Nowe możliwości egzekwowania przepisów, nadane nowe środki kontrolne i nadzorcze dla właściwego organu krajowego, takie jak:
  • Stosowanie kontroli doraźnych wobec podmiotów kluczowych.
  • Nakładanie administracyjnych kar pieniężnych na podmioty kluczowe i ważne.
  • Odpowiedzialność indywidualna. Osoba fizyczna, odpowiedzialna za podmiot kluczowy lub ważny, lub działająca w charakterze przedstawiciela prawnego tego podmiotu, na podstawie uprawnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli będzie mogła być pociągnięta do odpowiedzialności za niewywiązanie się z obowiązku zapewnienia przestrzegania niniejszej dyrektywy.

Zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dokument wskazuje obowiązki dla podmiotów kluczowych i podmiotów ważnych. Obowiązki te zostaną określone poprzez implementację NIS2 do porządku krajowego nie później niż na przełomie września i października 2024 roku.

W zakres podmiotów objętych dyrektywą wchodzą podmioty z państw członkowskich Unii Europejskiej spełniające wymogi średniego przedsiębiorstwa w myśl prawa UE. Sektory kluczowe wymienione zostały w załączniku I do dyrektywy, a ważne w załączniku II.

Do 27 miesięcy od dnia wejścia w życie NIS2, państwa członkowskie ustanowią wykaz podmiotów kluczowych i ważnych. Według dyrektywy, ich zadaniem jest podjęcie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami, na jakie są narażone sieci i systemy wykorzystywane do świadczenia usług. W Polsce szacuje się, że będzie to kilka tysięcy firm.

Dynamiczna analiza ryzyka i środki zarządzania ryzykiem

Dynamiczna analiza ryzyka powinna uwzględniać zmiany techniczne, legislacyjne oraz zmiany w rodzajach i typach cyberzagrożeń. Dlatego powinna również wykorzystywać feedy z systemów Cyber Threat Intelligence (CTI) oraz informacje z działu compliance lub prawnego.

Polityki bezpieczeństwa systemów teleinformatycznych

Spełnieniem tego wymogu jest zbudowanie i wdrożenie w organizacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO 27001.

Zarządzanie incydentami

W organizacji powinien zaistnieć proces zarządzania incydentami, zaimplementowany w ład korporacyjny organizacji np. w System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO 27001.

Raportowanie incydentów do CSIRT poziomu krajowego lub innego organu

Podmioty objęte dyrektywą muszą wdrożyć standardowe procedury operacyjne utrzymywania kontaktów w ramach systemu raportowania odpowiednim CSIRT’om i organom nadzorczym. Obowiązek raportowania dotyczy zarówno samego faktu wystąpienia incydentu, jak i wszelkich zagrożeń mogących doprowadzić do jego powstania.

Bezpieczeństwo łańcucha dostaw

Stosunki i relacje pomiędzy podmiotem a jego dostawcami lub usługodawcami powinny regulować polityki i procedury bezpieczeństwa zapewniające bezpieczne i ciągłe świadczenie usługi.

Plan ciągłości działania i zarządzania kryzysowego, w tym kopiami zapasowymi

System Zarządzania Ciągłością Działania — Business Continuity Plan (BCP) jest niezbędny do przywracania produkcji, procesów biznesowych i usług, w przypadku wystąpienia np. incydentu cyberbezpieczeństwa.

Polityki i procedury nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i audytu zabezpieczeń

Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni powinny znajdować się w Systemie Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnym z ISO 27001.

Kryptografia i szyfrowanie

Stopień korzystania z kryptografii i szyfrowania powinien być adekwatny do poziomu ryzyka wystąpienia incydentu bezpieczeństwa. Dlatego polityki i procedury obejmujące ten obszar powinny być bezpośrednio powiązane z analizą ryzyka i zasadami klasyfikacji informacji.

Szkolenia z cyberbezpieczeństwa

Konieczne są szkolenia z cyberbezpieczeństwa przede wszystkim dla kadry menadżerskiej, ale również dla pozostałych pracowników w zależności od stopnia wykorzystania w ich codziennych zadaniach systemów teleinformatycznych.