Dyrektywa NIS 2 nakłada na podmioty najważniejsze oraz ważne dwie kategorie obowiązków – pierwsze związane z koniecznością wprowadzania środków zarządzania ryzykiem w cyberbezpieczeństwie oraz drugie związane z odpowiednim zgłaszaniem incydentów. Środki zarządzania ryzykiem omówiliśmy w poprzednim artykule (dostępnym tutaj). Teraz przyszła pora na przedstawienie obowiązków związanych ze zgłaszaniem incydentów.
Zgłaszanie incydentów obecnie
Dotychczasowa dyrektywa NIS 1[1] w dość ogólny sposób określała obowiązki operatorów usług kluczowych (OUK) oraz dostawców usług cyfrowych (DUC) związane ze zgłaszaniem incydentów. Państwa członkowskie, wdrażając dyrektywę NIS 1, miały jedynie odpowiednio zobowiązać te podmioty do zgłaszania incydentów, które mają istotny wpływ na ciągłość świadczonych przez nich usług.
Tym samym dyrektywa NIS 1 pozostawiała dużą swobodę państwom członkowskim odnośnie określenia szczegółowego zakresu informacji wymaganych w zgłoszeniach oraz zasad ich dokonywania. Przede wszystkim dyrektywa NIS 1 nie określała konkretnych terminów, w jakich OUK oraz DUC powinny zgłaszać incydenty adekwatnym organom lub CSIRT, wskazując jedynie, iż państwa członkowskie powinny zapewnić, aby operatorzy usług kluczowych zgłaszali incydenty „niezwłocznie” (art. 14 ust. 3), a dostawcy usług cyfrowych „bez zbędnej zwłoki” (art. 16 ust. 3).
Polski ustawodawca w regulacji implementującej dyrektywę NIS 1, tj. w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[2] (ustawa o KSC), postanowił doprecyzować zasady raportowania incydentów, określając m.in. szczegółowy zakres informacji, które powinny być zawarte w zgłoszeniu.
Zgodnie z regulacjami obowiązującym obecnie[3], podmioty krajowego systemu cyberbezpieczeństwa, na które ustawa o KSC nakłada obowiązki zgłaszania incydentów tj. OUK, DUC oraz podmioty publiczne, są zobowiązane do zgłaszania incydentów odpowiednim organom niezwłocznie, nie później jednak niż w ciągu 24 godzin od momentu ich wykrycia.
Zgłaszanie incydentów na gruncie NIS2 – wprowadzenie
Dokonując rewizji dyrektywy NIS 1, unijny ustawodawca doszedł do wniosku, iż pozostawienie zbyt dużej swobody państwom członkowskim w jej implementacji doprowadziło do powstania nierównego poziomu cyberbezpieczeństwa w różnych częściach UE. W związku z tym, jednym z celów nowej dyrektywy NIS 2[4] jest wyrównanie tych różnic. Przejawia się to chociażby skonkretyzowaniem i ujednoliceniem zasad zgłaszania incydentów przez podmioty najważniejsze oraz ważne, w tym m.in. poprzez określenie terminów granicznych do dokonania takiego zgłoszenia.
Dyrektywa NIS 2 ma jednak nie tylko wyrównywać różnice pomiędzy państwami, ale przede wszystkim wynieść poziom cyberbezpieczeństwa Unii jako całości na wyższy poziom. Jednym ze środków do osiągnięcia tego celu ma być rozszerzona, wieloetapowa procedura raportowania incydentów.
Zanim jednak omówimy samą procedurę, warto wyjaśnić, jakie incydenty podlegają raportowaniu.
Definicja incydentu oraz poważnego incydentu na gruncie NIS 2
Dyrektywa NIS 2 wprowadza w art. 6 pkt 6 nową definicję incydentu, zgodnie z którą:
„incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;
Warto zauważyć, iż przytoczona definicja incydentu kładzie inny nacisk niż definicja incydentu na gruncie dyrektywy NIS 1, gdzie za incydent uważano „zdarzenie mające niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych”.
Nowa definicja odnosi się do tego, co rzeczywiście powinno być istotne z punktu widzenia cyberbezpieczeństwa, czyli ogólnopojętego bezpieczeństwa przechowywanych i przetwarzanych danych lub dostępności świadczonych za pośrednictwem sieci i systemów usług. Wartością podlegającą ochronie jest więc bezpieczeństwo procesów zachodzących w sieciach i systemach informatycznych, a nie tylko bezpieczeństwo systemów IT samych w sobie.
Jednak nie każdy tak zdefiniowany incydent wymaga zgłoszenia do adekwatnego organu przez podmiot, który został nim dotknięty. Zgłoszeniu podlegać mają jedynie te incydenty, które należy uznać za poważne.
Incydent jest poważny, jeżeli spełnia co najmniej jedno z dwóch kryteriów określonych w art. 23 ust. 3, tj. w sytuacji, jeśli:
- spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
- wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Dla przykładu – zainfekowanie złośliwym oprogramowaniem jednego urządzenia, np. laptopa, które zablokuje możliwość korzystania z niego na określony czas, będzie niewątpliwie stanowiło incydent. Jednak często taki pojedynczy przypadek nie będzie stanowił incydentu poważnego, co wymaga raportowania. Natomiast, jeżeli w wyniku takiego incydentu dojdzie do ujawnienia poufnych danych innych podmiotów, np. klientów podmiotu dotkniętego incydentem, które może powodować znaczne szkody majątkowe lub niemajątkowe, to taki incydent należy uznać za poważny i będzie podlegał on odpowiedniemu zgłoszeniu.
Wkrótce ma być częściowo doprecyzowane, co dokładnie należy rozumieć za incydent poważny skutkujący obowiązkiem raportowania. Komisja Europejska jest zobowiązana do 17 października 2024 r. przyjąć akty wykonawcze dookreślające przypadki, w których incydent uznaje się za poważny w zależności od tego, czy podmiotem dotkniętym incydentem są określone podmioty sektora infrastruktury cyfrowej oraz sektora zarządzania usługami ICT, w tym dostawcy usług DNS, rejestrów nazw TLD, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawy sieci dostarczania treści, dostawców usług zarządzanych oraz dostawcy usług zarządzanych w zakresie bezpieczeństwa (art. 23 ust. 11). Komisja może też przyjąć takie akty wykonawcze w odniesieniu do innych podmiotów kluczowych i ważnych.
Procedura zgłaszania incydentów
Nowością w stosunku do dyrektywy NIS 1 jest również to, iż zgłaszanie incydentów na gruncie NIS 2 jest wieloetapowe i wymaga od dotkniętego incydentem podmiotu kluczowego lub ważnego zgłaszania oraz przekazywania określonych informacji na różnych stadiach obsługi tego incydentu.
Wczesne ostrzeżenie (do 24 godzin)
Pierwszym krokiem w przypadku zidentyfikowania wystąpienia poważnego incydentu jest przekazanie odpowiedniemu CSIRT lub adekwatnemu organowi wczesnego ostrzeżenia o poważnym incydencie.
Celem realizacji tego etapu jest wstępne zasygnalizowanie odpowiednim organom wystąpienia poważnego incydentu oraz wskazanie, czy jest on potencjalnie wywołany atakiem hakerskim lub innym bezprawnym działaniem, a także ustalenie jego ewentualnego transgranicznego wpływu.
Wczesne ostrzeżenie powinno być przekazane bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie (art. 23 ust. 4 lit. a).
Przekazując wczesne ostrzeżenie, podmioty najważniejsze lub ważne mogą zwrócić się ponadto do CSIRT lub adekwatnych organów o wytyczne lub porady mające ograniczyć ryzyko, a także zawnioskować o udzielenie dodatkowego wsparcia technicznego. CSIRT lub adekwatny organ powinny bez zbędnej zwłoki i w miarę możliwości w ciągu 24 godzin udzielić odpowiedzi podmiotowi dotkniętemu incydentem oraz zawnioskowanego wsparcia.
Zgłoszenie incydentu (do 72 godzin)
Po przekazaniu wczesnego ostrzeżenia podmiot dotknięty poważnym incydentem zobowiązany jest do dalszej analizy incydentu oraz dokonania jego zgłoszenia.
Na tym etapie wymaga się już od podmiotu dokonania wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu.
Jeśli incydent spowodowany jest atakiem hakerskim czy innym działaniem o charakterze bezprawnym lub jeżeli może mieć skutek transgraniczny, to takie informacje powinny również zostać przekazane lub odpowiednio zaktualizowane względem wczesnego ostrzeżenia.
Podmiot najważniejszy lub istotny powinien również dokonać zgłoszenia incydentu bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin od chwili jego wykrycia. Wyjątkiem od tego są dostawcy usług zaufania, którym wyznaczono krótszy termin wynoszący maksymalnie 24 godziny od powzięcia wiedzy o incydencie.
Sprawozdanie końcowe (do miesiąca) oraz sprawozdania okresowe
Dokonanie zgłoszenia incydentu poważnego nie wyczerpuje obowiązków podmiotów kluczowych i ważnych związanych z tym incydentem. Zobowiązane są one bowiem do przygotowania sprawozdania końcowego dotyczącego incydentu poważnego.
Sprawozdanie końcowe powinno zawierać:
- szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
- rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;
- zastosowane i wdrażane środki ograniczające ryzyko;
- w stosownych przypadkach transgraniczne skutki incydentu.
Sprawozdanie końcowe powinno zostać złożone nie później niż miesiąc po dokonaniu zgłoszenia. jeżeli jednak w tym czasie incydent nie został rozwiązany i wciąż występuje, to podmioty najważniejsze i ważne powinny być zobowiązane do złożenia sprawozdania z postępu prac, a sprawozdanie końcowe powinny dostarczyć w ciągu miesiąca od zakończenia przez nich obsługi incydentu.
Podmioty najważniejsze lub ważne mogą być też zobowiązane do złożenia sprawozdania okresowego w każdym czasie, na wniosek CSIRT lub adekwatnego organu.
Wprowadzenie obowiązku dokonywania zgłoszeń końcowych (a w niektórych przypadkach okresowych) umożliwia wyciągnięcie cennych wniosków z poszczególnych incydentów, tzw. lessons learned i może przyczynić się do poprawy cyberodporności nie tylko poszczególnych podmiotów, ale także całych sektorów.
Warto wskazać, iż w każdym przypadku, gdy dochodzi do zgłoszenia incydentu, przekazania sprawozdania czy innego udostępnienia informacji, które są niejawne na gruncie prawa Unii lub prawa krajowego, zastosowanie będą miały odpowiednie przepisy dotyczące postępowania z informacjami niejawnymi.
Informowanie o zagrożeniach, publiczne ujawnienie incydentu
Dyrektywa NIS 2 w art. 23 ust. 2 wymaga, aby podmioty najważniejsze lub ważne podmioty, w przypadkach, gdzie ma to zastosowanie, informowały odbiorców swoich usług, którzy mogą być narażeni na poważne cyberzagrożenia, o dostępnych środkach zaradczych lub innych działaniach, jakie mogą podjąć w odpowiedzi na to zagrożenie. Gdy jest to odpowiednie, podmioty powinny również poinformować użytkowników bezpośrednio o samym zagrożeniu cybernetycznym.
Wskazany obowiązek, pomimo iż jest unormowany w jednostce redakcyjnej dotyczącej zgłaszania incydentów, nie odnosi się bezpośrednio do jego występowania. W związku z czym, niezależnie od tego czy doszło do powstania incydentu czy nie, podmioty najważniejsze i ważne powinny informować swoich klientów o samych zagrożeniach, czyli wszelkich potencjalnych okolicznościach, zdarzeniach lub działaniach, występujących w sieciach lub systemach informatycznych, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie na nich wpłynąć.
Niezależnie od obowiązku powiadamiania o cyberzagrożeniach, w niektórych przypadkach konieczne może być publiczne ujawnienie wystąpienia incydentu, w szczególności gdy jest to niezbędne, żeby zapobiec wystąpieniu poważnego incydentu lub do rozwiązania trwającego już incydentu. CSIRT lub adekwatny organ mogą wówczas, po konsultacji z podmiotem dotkniętym incydentem, poinformować publicznie o takim incydencie lub zobowiązać do tego dotknięty podmiot.
Regulacje dotyczące zgłaszania incydentów na gruncie RODO a NIS 2
Warto wskazać, iż część incydentów bezpieczeństwa może wiązać się także z naruszeniem ochrony danych osobowych. Incydent, którego skutkiem będzie ujawnienie lub naruszenie integralności danych osobowych, będzie podlegał raportowaniu zarówno na gruncie przepisów dyrektywy NIS 2, jak i przepisów o ochronie danych osobowych.
Zgodnie z art. 33 ust. 1 RODO[5], w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych, chyba iż jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Gdy w chwili zgłaszania naruszenia administrator nie dysponuje wszystkimi wymaganymi informacjami, to w ww. terminach od wykrycia naruszenia powinien przekazać Prezesowi UODO te informacje na temat naruszenia, które posiada.
Również podmiot przetwarzający dane jest zobowiązany do zgłoszenia naruszenia ochrony danych osobowych administratorowi. Takie zgłoszenie powinno być dokonane bez zbędnej zwłoki po stwierdzeniu faktu naruszenia.
Obie procedury raportowania incydentów – na gruncie dyrektywy NIS 2 oraz RODO są od siebie niezależne. Jednocześnie dyrektywa NIS 2 w motywie 106 „zachęca” państwa członkowskie do utworzenia pojedynczego punktu zgłaszania incydentów, w którym będzie można dokonać zgłoszenia zarówno incydentów cyberbezpieczeństwa, jak i naruszeń danych osobowych. Istnienie punktu zgłaszania incydentów nie powinno jednak wpływać na niezależność organów, do których te zgłoszenia powinny ostatecznie trafić. Jak ta kwestia zostanie rozwiązania na gruncie prawa polskiego, niedługo się przekonamy.
Warto jednocześnie podkreślić, iż nie każde naruszenie danych osobowych będzie stanowiło incydent cyberbezpieczeństwa, tak jak nie każdy incydent cyberbezpieczeństwa będzie jednocześnie incydentem na gruncie RODO. Przykładem pierwszej sytuacji może być np. porzucenie niezabezpieczonej dokumentacji papierowej zawierającej dane osobowe, skutkiem czego będzie ich ujawnienie. Natomiast druga sytuacja będzie miała miejsce, gdy dojdzie do incydentu cybernetycznego, który nie dotyczy danych osobowych. W praktyce jednocześnie duża część incydentów cybernetycznych może stanowić jednocześnie incydenty na gruncie RODO.
Dużo zależy od państw członkowskich (oraz Komisji)
Państwa członkowskie, implementując dyrektywę NIS 2, mogą określić bardziej szczegółowe zasady zgłaszania incydentów oraz wyznaczyć odpowiednie CSIRT lub adekwatne organy do ich przyjmowania.
Można się spodziewać, iż polski ustawodawca określi bardziej szczegółowo niezbędny zakres przekazywanych informacji w ramach poszczególnych stadiów występowania incydentu poważnego.
Dyrektywa NIS 2 w motywie 102 daje jednak pewne wytyczne co do uciążliwości wprowadzanych wymogów. We wspomnianym motywie podkreślono, iż priorytetem podmiotów kluczowych i ważnych dotkniętych incydentem powinna być sprawna jego obsługa. W związku z czym wymagania dotyczące wczesnego ostrzeżenia i zgłoszenia incydentu nie powinny być zbyt duże, tak żeby nie stanowiły niepotrzebnego obciążenia administracyjnego tych podmiotów. Przede wszystkim państwa członkowskie powinny tak wyważyć wymagania, aby nie doprowadzić do sytuacji, w której konieczność wydania wczesnego ostrzeżenia czy dokonania zgłoszenia powoduje przekierowanie na nich zbyt wielu zasobów, które powinny być przeznaczone na reagowanie na incydenty.
Swoboda państw członkowskich może zostać jednak dość poważnie ograniczona. Komisja Europejska stosownie do art. 23 ust. 11 NIS 2 ma prawo do wydania aktów wykonawczych do dyrektywy, w których może ona doprecyzować rodzaj informacji, format oraz procedurę zgłaszania incydentów. Do tej pory jednak nie wydano takiego aktu, nie ma też informacji o tym, czy taki akt ma zostać wydany w przyszłości.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1).
[2] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913 z późn. zm.).
[3] Stan prawny na 2 kwietnia 2024 r.
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80).
[5] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).