Unijna i krajowa przebudowa cyberbezpieczeństwa
2023-05-08
Za sprawą wejścia w życie w dniu 16 stycznia 2023 r. Dyrektywy NIS 2 unijny oraz krajowy system cyberbezpieczeństwa czekają daleko idące zmiany.
Narastające zagrożenie atakami hakerskimi (kwietniowy atak na stronę GPW i prawdopodobny atak na Blik) oraz rosnąca świadomość społeczeństwa w zakresie konieczności wprowadzenia cyberochrony systemów, zbiega się zatem z przyjęciem przez ustawodawcę unijnego nowego aktu w obszarze cyberbezpieczeństwa.
Co reguluje Dyrektywa NIS 2, jak dalekie zmiany w obszarze cyberbezpieczeństwa nas czekają i kto jest zobowiązany do dostosowania działalności w obszarze regulowanym Dyrektywą NIS 2?
Unijny system cyberbezpieczeństwa – zakres regulacji Dyrektywy NIS 2
Dyrektywa NIS 2 jest następczynią uprzednio obowiązującej Dyrektywy NIS, tj. dyrektywy 2016/1148 z dnia 6 lipca 2016 r. Jej celem jest zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej UE. Szybko postępująca transformacja cyfrowa doprowadziła do ewolucji krajobrazu cyberzagrożeń, przynosząc nowe wyzwania, które musiały spotkać się z reakcją ustawodawcy unijnego, a co w efekcie zaowocowało nową wersją dyrektywy z obszaru cyberbezpieczeństwa. Pierwsza dyrektywa stanowiła bowiem katalizator zmian w instytucjonalnym i regulacyjnym podejściu do cyberbezpieczeństwa, wymuszając utworzenie w porządkach krajowych ram w zakresie bezpieczeństwa sieci i systemów informatycznych, w tym poprzez przyjęcie krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych. Druga dyrektywa wprowadzone wcześniej zabezpieczenia umacnia, dostosowuje do obecnie zidentyfikowanych zagrożeń oraz w związku z wciąż postępującym rozwojem cyberspołeczeństwa – wymogi swoje rozszerza na nowe kategorie podmiotów.
Dotychczas państwa członkowskie były odpowiedzialne za identyfikację podmiotów spełniających kryteria pozwalające na uznanie ich za operatorów usług kluczowych (tak w odniesieniu do polskich operatorów usług kluczowych – decyzja identyfikacyjna, wydawana na podstawie art. 5 ustawy o krajowym systemie cyberbezpieczeństwa). Istotne rozbieżności w procesie identyfikacji między państwami członkowskimi dały asumpt do ustanowienia w Dyrektywie NIS 2 jednolitych kryteriów określających, które podmioty są objęte zakresem stosowania dyrektywy. Jak wskazuje ustawodawca unijny, kryterium to powinno przewidywać stosowanie zasady wielkościowej przewidującej, że zakres stosowania Dyrektywy NIS 2 obejmuje wszystkie podmioty, które kwalifikują się jako średnie przedsiębiorstwa lub które przekraczają pułapy dla średnich przedsiębiorstw oraz które działają w sektorach objętych Dyrektywą NIS 2 lub świadczą objęte nią rodzaje usług lub prowadzą objętą nią działalność. Dodatkowo, państwa członkowskie powinny również zapewnić objęcie zakresem zastosowania Dyrektywy NIS 2 niektórych małych przedsiębiorstw i mikroprzedsiębiorstw, które spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów lub rodzajów usług.
Dyrektywa NIS 2 dzieli podmioty, co do których ma zastosowanie, na podmioty kluczowe i podmioty ważne, w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości. Przykładowo do sektorów kluczowych ustawodawca unijny zalicza energetykę, transport, bankowość, infrastrukturę rynków finansowych, opiekę zdrowotną, infrastrukturę cyfrową czy nawet wodę pitną. Do sektorów ważnych z kolei zalicza przykładowo usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcję, przetwarzanie i dystrybucję żywności czy produkcję i dystrybucję chemikaliów (gdzie żaden z tych sektorów nie był dotychczas objęty Dyrektywą NIS).
Podmioty podlegające pod zakres zastosowania Dyrektywy NIS 2, w tym uprzednio zidentyfikowane oraz nowoidentyfikowane podmioty, będą zobowiązane do odpowiednio dostosowania albo wdrożenia
wewnętrznych polityk w obszarze cyberbezpieczeństwa, systemu oceny ryzyka oraz zarządzania ryzykiem i podatnościami, przeprowadzania audytów bezpieczeństwa czy notyfikowania dostrzeżonych nieprawidłowości, w tym incydentów, do uprawnionych organów krajowych.
Krajowy system cyberbezpieczeństwa
Ustawa o krajowym systemie cyberbezpieczeńśtwa (u.k.s.c.) weszła w życie w 2018 roku i jest efektem transpozycji Dyrektywy NIS. Po upływie dwóch lat od dnia wejścia w życie przepisów u.k.s.c., podjęto próbę nowelizacji ustawy w celu zmodyfikowania jej przepisów w związku z zebranymi dotychczas doświadczeniami w zakresie stosowania pierwotnej ich wersji. Celem nowelizacji miało być m.in. ustanowienie CSIRT sektorowych, uregulowanie kwestii dostępu do wiedzy eksperckiej dotyczącej cyberzagrożeń (do tej pory w Polsce nie powstały centra wymiany informacji między podmiotami krajowego systemu – ang. ISAC) czy zaostrzenie wymagań w zakresie bezpieczeństwa infrastruktury usług telekomunikacyjnych, w tym wprowadzenie środków na poziomie strategicznym i technicznym ograniczających ryzyka cyberbezpieczeństwa sieci 5G (obecnie w krajowym systemie cyberbezpieczeństwa nie znajdują się przedsiębiorcy telekomunikacyjni ani dostawcy usług zaufania).
Po dwóch i pół roku od dnia wniesienia projektu zmian do u.k.s.c. końca prac nie widać. W międzyczasie ustawodawca unijny zdążył uchwalić nową Dyrektywę NIS 2, a to z kolei oznacza, że dotychczasowe prace nad zmianą przepisów u.k.s.c. powinny uwzględnić zmiany, które niesie za sobą uchwalenie nowej dyrektywy unijnej, zwłaszcza, że dotychczasowy projekt jest fragmentami niespójny z wymaganiami nowego prawa unijnego. Implementacja Dyrektywy NIS 2 do polskiego porządku prawnego powinna nastąpić do dnia 17 października 2024 roku. Mimo, że na zwieńczenie prac legislacyjnych jest jeszcze wiele miesięcy, biorąc pod uwagę tempo prac nad nowelizacją dotychczasowej wersji u.k.s.c., pożądanym jest, aby prace nad implementacją rozpoczęły się możliwe jak najszybciej.