Jak zmieni się cyberbezpieczeństwo za sprawą implementacji NIS2?
2023-09-29
Podstawowe obowiązki wynikające z dyrektywy unijnej będą oscylowały wokół przyjęcia odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie i wywiązywania się z obowiązków w zakresie zgłaszania incydentów.
W dniu 16 stycznia 2023 r. weszła w życie dyrektywa 2022/2555 (dyrektywa NIS2). Dyrektywa NIS2 zastępuje dotychczas regulującą ten obszar dyrektywę 2016/1148 z 6 lipca 2016 r. Państwa członkowskie mają 21 miesięcy na implementację przepisów dyrektywy NIS2 do krajowych porządków prawnych. Oznacza to, że regulacje dyrektywy NIS2 będą musiały znaleźć odzwierciedlenie na poziomie ustawowym w październiku 2024 r.
Prace nad wdrożeniem dyrektywy NIS2 do polskiego porządku prawnego jeszcze nie ujrzały światła dziennego. Tymczasem podmioty, podlegające dyrektywie NIS2, w szczególności te, na które zakres obowiązywania regulacji unijnych z obszaru cyberbezpieczeństwa został rozszerzony, powinny rozpocząć proces odpowiedniego przygotowania do należytego wykonania obowiązków, które nakłada na nie ustawodawca unijny, a na poziomie krajowym – wkrótce doprecyzuje polski ustawodawca.
Kogo dotyczyć będzie dyrektywa?
Dyrektywa NIS2 systemowo przemodelowała dotychczasowe podejście do cyberbezpieczeństwa. Wiele zmian dotyczy zakresu podmiotowego jej zastosowania. W ocenie ustawodawcy unijnego należało rozszerzyć zakres stosowania przepisów na poszczególne sektory, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym (w szczególności woda pitna, usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, przetwarzanie i dystrybucja żywności czy produkcja dystrybucja chemikaliów, administracja publiczna, przestrzeń kosmiczna).
W nowej regulacji zrezygnowano z podziału na tzw. operatorów usług kluczowych oraz dostawców usług cyfrowych. Uprzedni podział miał, zdaniem ustawodawcy unijnego, ulec dezaktualizacji na przestrzeni stosowania poprzedniej dyrektywy, jak również w dobie dostrzeżonych zagrożeń bezpieczeństwa systemów informacyjnych. Obecnie wprowadzono podział na podmioty kluczowe (essential entities) oraz podmioty istotne (important entities), w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości. Wprowadzono zatem jednolite kryteria określające, które podmioty są objęte zakresem stosowania dyrektywy NIS2. Założyć należy, że za podmioty kluczowe uznani zostaną m.in. dotychczas zidentyfikowani na podstawie ustawy o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych. Taką możliwość wprost daje ustawodawca unijny (art. 3 ust. 1 lit. g dyrektywy NIS2). Niezależnie, dla zapewnienia przejrzystego przeglądu podmiotów objętych zakresem stosowania dyrektywy NIS2, krajowy ustawodawca będzie zobowiązany do utworzenia wykazu podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen.
Jakie będą obowiązki?
Podstawowe obowiązki podmiotów kluczowych i istotnych będą oscylowały wokół z jednej strony przyjęcia odpowiednich (proporcjonalnych) środków zarządzania ryzykiem w cyberbezpieczeństwie, z drugiej – wywiązywania się z obowiązków w zakresie zgłaszania incydentów. Podmioty te zobowiązane będą do wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Środki te mają zapewnić poziom bezpieczeństwa odpowiedni do istniejącego ryzyka. Na podmiotach kluczowych i ważnych będzie zatem spoczywał obowiązek dokonania odpowiedniej oceny stopnia narażenia na ryzyko, a następnie wdrożenia środków proporcjonalnych do zidentyfikowanego poziomu ryzyka. Przy badaniu stopnia narażenia na ryzyko podmioty będą zobowiązane do wzięcia pod uwagę takich czynników, jak wielkość samego podmiotu, prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze. Dokument przeprowadzonej oceny ryzyka będzie zatem punktem wyjścia dla samego podmiotu do wdrożenia odpowiednich środków, jak również dla oceny nadzorcy co do stopnia odpowiedniości (proporcjonalności) takich środków.
Środki zarządzania ryzykiem
Na poziomie dyrektywy NIS2 doprecyzowano konieczne do wdrożenia środki zarządzania ryzykiem w cyberbezpieczeństwie. Katalog tych środków (przy czym jest to katalog otwarty) obejmuje m.in. takie elementy, jak: (i) polityka analizy ryzyka i bezpieczeństwa systemów informatycznych (oprócz więc obowiązku dokonania szacowania ryzyka dla celów zapewnienia proporcjonalnych środków zarządzania ryzykiem, ustawodawca unijny wprost wprowadza obowiązek przyjęcia procedury, która będzie zawierała szczegółowe zasady przeprowadzania takiego szacowania, aktualizacji etc.); (ii) obsługa incydentu (tj. uregulowane zasady związane z reagowaniem na wystąpienie incydentu, w tym odpowiednią ich kategoryzację), (iii) ciągłość działania (element adresujący kwestie związane z wpływem incydentu na działalność podmiotu i działania konieczne do podjęcia dla zminimalizowania negatywnych skutków wystąpienia incydentów i zarządzanie kryzysowe), (iv) bezpieczeństwo łańcucha dostaw (bezpieczeństwo w relacjach podmiotów z ich bezpośrednimi dostawcami lub usługodawcami), (v) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie (oprócz identyfikacji ryzyk konieczne będzie również odpowiednie zidentyfikowanie podatności) czy (vi) polityki i procedury służące ocenie skuteczności wdrożonych środków.
Tym samym, z poziomu unijnego, na podmioty objęte dyrektywą NIS2 zostaną nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. Jednocześnie obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa zostają w tym samym zakresie nałożone zarówno na podmioty kluczowe i ważne (brak dotychczasowej dychotomii obowiązków tych podmiotów). Rozróżnienie w zakresie dobranych i wdrożonych środków u tych dwóch kategorii podmiotów będzie zatem widoczne na poziomie szacowania ryzyka. To ono będzie implikowało rodzaj, zakres i skalę koniecznych do wdrożenia, proporcjonalnych środków zarządzania ryzykiem.
Co istotne, w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych oraz platform sieci społecznościowych i dostawców usług zaufania, Komisja do 17 października 2024 r. przyjmie akty wykonawcze określające wymogi techniczne i metodykę dotyczącą środków zarządzania ryzykiem w cyberbezpieczeństwie. W związku z tym, że usługi te mają transgraniczny charakter i podlegają daleko idącej harmonizacji na poziomie UE, w ocenie ustawodawcy unijnego konieczne jest ułatwienie wdrażania tych środków za pomocą aktu wykonawczego.
Jednocześnie dyrektywa NIS2 daje możliwość przyjęcia aktywów wykonawczych określających wymogi techniczne i metodykę, a w razie potrzeby również wymogi sektorowe dotyczące tych środków, do podmiotów kluczowych i ważnych innych niż wymienione powyżej.
Obowiązki w zakresie zgłaszania incydentów
Dyrektywa NIS2, obok wprowadzonego katalogu środków zarządzania ryzykiem w cyberbezpieczeństwie, doprecyzowuje również obowiązki podmiotów kluczowych i ważnych w zakresie zgłaszania incydentów. Zasadą będzie, że jeżeli podmioty kluczowe lub ważne zidentyfikują wystąpienie poważnego incydentu, zobowiązane będą do wydania, bez zbędnej zwłoki (nie później niż w ciągu 24 godzin), wczesnego ostrzeżenia. Po tym wczesnym ostrzeżeniu powinny dokonać zgłoszenia incydentu do właściwego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Przekazanie zgłoszenia incydentu ma następować bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia informacji o poważnym incydencie. W zgłoszeniu nastąpić ma aktualizacja informacji zawartych we wczesnym ostrzeżeniu oraz wstępna ocena poważnego incydentu, w tym jego dotkliwość i skutki, a także oznaki naruszenia integralności systemu, jeśli występują. Sprawozdanie końcowe, zawierające: (i) szczegółowy opis incydentu, w tym jego dotkliwości i skutków; (ii) rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu; (iii) zastosowane i wdrażane środki ograniczające ryzyko; (iv) w stosownych przypadkach transgraniczne skutki incydentu, należy złożyć nie później niż miesiąc po zgłoszeniu incydentu.
Co będzie dalej?
Obecnie czekamy na projekt ustawy implantującej dyrektywę NIS2 – zapewne będą to zmiany do obecnie obowiązującej ustawy o krajowym systemie cyberbezpieczeństwa. Na propozycję transponowania dyrektywy NIS2 możemy jednak poczekać. Tymczasem podmioty prowadzące działalność w sektorach objętych zakresem zastosowania dyrektywy NIS2 powinny pierwszorzędnie dokonać samooceny spełniania kryteriów, kwalifikujących ich potencjalnie jako podmioty kluczowe albo ważne.
Na tym etapie konieczna jest świadomość tych podmiotów co do podlegania zakresowi zastosowania przepisów dyrektywy NIS2, a co za tym idzie – świadomość co do konieczności wdrożenia cyberbezpieczeństwa zgodnie z wymogami omawianej regulacji. Co istotne, część dotychczasowych operatorów usług kluczowych zostanie wyłączona spod zakresu zastosowania dyrektywy NIS2, z uwagi na przyjęcie sektorowego aktu prawnego UE, powiązanego z dyrektywą NIS2, w odniesieniu do podmiotów finansowych. Mowa o rozporządzeniu 2022/2554 (rozporządzenie DORA), na podstawie którego podmioty finansowe otrzymują własne, sektorowe ramy cyberbezpieczeństwa, a której termin wdrożenia wyznaczono na 17 stycznia 2025r.
Nikola Jadwiszczak – Niedbałka, Radca Prawny w Krzysztof Rożko i Wspólnicy Kancelaria Prawna
Rekomendacje Kancelarii KRWLEGAL w rankingach: IFLR1000 w kategoriach Capital Markets: Equity oraz M&A, The Legal 500 EMEA 2023 w kategoriach: Investment Funds i Capital Markets oraz jako lider „Rzeczpospolita 2023” w kategoriach: doradzanie prywatnym klientom (Private Clients), private equity, rynki kapitałowe i doradztwo regulacyjne.