NIS 2 (ang. Network and Information Systems Directive 2), której pełna nazwa to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, jest kluczowym aktem prawnym z zakresu bezpieczeństwa sieci informatycznych w Unii Europejskiej. Państwa członkowskie mają czas już tylko do 17 października 2024 r., by zaimplementować jej postanowienia do swojego, krajowego porządku prawnego.
NIS 2 uchyla dyrektywę (UE) 2016/1148 (NIS 1) z 2016 r., która jako pierwsza zbudowała zdolność w zakresie cyberbezpieczeństwa w całej Unii Europejskiej. Dynamicznie postępująca rewolucja cyfrowa niejako wymusiła jednak na władzach najwyższego szczebla, by przyjrzeć się na nowo kwestiom związanym z bezpieczeństwem w sieci oraz zaproponować nowe, odpowiadające dzisiejszej wiedzy i standardom rozwiązania.
To, co znamienne dla dyrektywy NIS 2, to fakt, iż rozszerza ona zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki, uwzględniając nieobjęte wcześniej dyrektywą NIS 1 sektory i usługi mające istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym. I tak też w dyrektywie NIS 2 doszło do wyodrębnienia „podmiotów kluczowych” i „podmiotów ważnych”. Poza rozszerzeniem kręgu podmiotów zobowiązanych do stosowania się do nowych wytycznych dyrektywa przewiduje dodatkowo wyższe sankcje finansowe (co najmniej 10 mln euro lub co najmniej 7 mln euro) i nowe mechanizmy współpracy międzynarodowej, a także wzmacnia rolę Europejskiej Agencji ds. Cyberbezpieczeństwa.
Jakie podmioty to podmioty „kluczowe” w rozumieniu dyrektywy NIS 2?
Definicja podmiotów kluczowych znajduje się w art. 3 ust. 1 dyrektywy NIS 2. Za podmioty kluczowe uznaje ona podmioty takie jak:
- podmioty w rodzaju tych, o których mowa w załączniku I, przekraczające pułapy dla średnich przedsiębiorstw, określone w art. 2 ust. 1 załącznika do zalecenia 2003/361/WE – są to podmioty z sektora energetyki, transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, infrastruktury rynków finansowych, opieki zdrowotnej, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT, administracji publicznej, przestrzeni kosmicznej;
- kwalifikowanych dostawców usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawców usług DNS, niezależnie od ich wielkości;
- dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia 2003/361/WE.
Jakie podmioty to podmioty „ważne” w rozumieniu dyrektywy NIS 2?
Definicja podmiotów uznawanych za „ważne”, znajdująca się w art. 3 ust. 2, jest już mniej rozbudowana, ponieważ do podmiotów ważnych dyrektywa NIS 2 zalicza podmioty w rodzaju tych, o których mowa w załączniku I lub II, które nie kwalifikują się jako podmioty kluczowe zgodnie z art. 3 ust. 1.
Podmiotami ważnymi są podmioty z sektora: usług pocztowych i kurierskich, gospodarowania odpadami, produkcji, wytwarzania i dystrybucji chemikaliów, produkcji, przetwarzania i dystrybucji żywności, produkcji, dostawy usług cyfrowych, badań naukowych.
Do jakich działań z zakresu cyberbezpieczeństwa zobligowane są podmioty kluczowe i ważne?
Dla analizy obowiązków podmiotów kluczowych i ważnych istotny pozostaje w szczególności art. 21 i 23 dyrektywy NIS 2.
Obowiązki te dla jednej i drugiej grupy są co do zasady takie same, jednakże należy stosować je proporcjonalnie, biorąc pod uwagę stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.
Podmioty kluczowe i ważne, na mocy nowych przepisów, są zobligowane przede wszystkim do wdrożenia odpowiednich środków technicznych, operacyjnych i organizacyjnych, takich jak: obsługa incydentu, ciągłość działania, bezpieczeństwo łańcucha dostaw, podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa.
Celem wdrożenia tychże środków jest zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w prowadzonej działalności lub do świadczenia usług, a także zapobieganie wpływowi incydentów na odbiorców tych usług lub na inne usługi.
EU-CyCLONe jako nowe rozwiązanie z zakresu współpracy międzynarodowej
Dyrektywa NIS 2 powołuje także do życia EU-CyCLONe, czyli Europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa, mającą za zadanie ułatwiać współpracę międzynarodową. EU-CyCLONe będzie pomagać w skoordynowanym zarządzaniu na szczeblu operacyjnym incydentami i zarządzaniu kryzysowym w cyberbezpieczeństwie, jak również zapewniać regularną wymianę informacji między państwami członkowskimi a instytucjami, organami, czy urzędami Unii Europejskiej.
NIS 2 w transporcie – jak przygotować się na nadchodzące zmiany?
Dyrektywa NIS 2 wymaga implementacji do krajowego porządku prawnego, co nastąpi poprzez nowelizację ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Wzmianka o projekcie ustawy pojawiła się już na stronie rządowej, jednak na tę chwilę sam projekt ustawy nie został jeszcze udostępniony. Zważając natomiast na to, że do 17 października 2024 r. nie pozostało już zbyt wiele czasu, wszystko wskazuje na to, że prace będą toczyć się w szybkim tempie.
Jeśli nie chcą Państwo narazić się na dotkliwe kary finansowe, które zostały przewidziane za nieprzestrzeganie przepisów z zakresu cyberbezpieczeństwa, bądź nie wiedzą, jakie działania powinni podjąć, by przygotować się na nadchodzące zmiany, zapraszamy do kontaktu z naszą kancelarią transportową!