4 dni temu
Dyrektywa NIS2 (Network and Information Security Directive) stanowi kolejny krok w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej, aktualizując wcześniejszą dyrektywę NIS1. Jej zasadniczym założeniem jest wzmocnienie odporności oraz usprawnienie mechanizmów reagowania na incydenty cybernetyczne.
Nowe przepisy znacząco rozszerzają zarówno katalog podmiotów objętych obowiązkami, jak i zakres wymagań dotyczących ochrony infrastruktury cyfrowej. W praktyce oznacza to, iż odpowiedzialność za utrzymanie wysokiego poziomu bezpieczeństwa systemów teleinformatycznych spoczywa w tej chwili na znacznie szerszej grupie przedsiębiorców niż dotychczas. W odróżnieniu od wcześniejszych regulacji, obejmuje ona nie tylko operatorów infrastruktury krytycznej, ale także wiele innych organizacji działających w sektorach o strategicznym znaczeniu dla gospodarki i bezpieczeństwa państwa.
W ramach nowych przepisów wyróżniono dwie kategorie adresatów podmioty najważniejsze oraz podmioty ważne co pozwala różnicować zakres nadzoru oraz potencjalne sankcje w zależności od znaczenia i charakteru prowadzonej działalności.
Do grona sektorów uznanych za najważniejsze należą m.in. energetyka, transport, bankowość, opieka zdrowotna, infrastruktura cyfrowa, gospodarka wodna oraz administracja publiczna. Z kolei do sektorów ważnych zaliczono m.in. usługi pocztowe, gospodarkę odpadami, branżę chemiczną i spożywczą, przemysł wytwórczy oraz dostawców usług cyfrowych, takich jak platformy e-commerce, wyszukiwarki czy media społecznościowe.
Dyrektywa obejmuje przede wszystkim średnie i duże przedsiębiorstwa, jednak państwa członkowskie mogą zdecydować o rozszerzeniu jej stosowania także na mniejsze podmioty, jeżeli ich działalność ma istotne znaczenie dla funkcjonowania państwa lub gospodarki. W efekcie NIS2 tworzy spójny, znacznie bardziej kompleksowy system ochrony cyberprzestrzeni w Unii Europejskiej.
Zgodnie z Dyrektywą NIS2 podmiotem kluczowym, niezależnie od wielkości, jest:
– przedsiębiorca, który świadczy określone kategorie usług cyfrowych z sektora infrastruktury cyfrowej:
● dostawca usług TLD (top level domain)
● dostawca usług DNS (domain name server)
● dostawca kwalifikowanych usług zaufania
● dostawca publicznych sieci łączności elektronicznej
● dostawca publicznie dostępnych usług łączności elektronicznej
– mała lub średnia firma, zakwalifikowana przez adekwatne organy krajowe jako podmiot krytyczny, w rozumieniu dyrektywy w sprawie odporności podmiotów krytycznych
Dyrektywy NIS2 nie stosuje się do:
– przedsiębiorców, którzy świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania
– przedsiębiorców, którzy zostaną zwolnieni z obowiązków ustanowienia środków zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszania incydentów w odniesieniu do prowadzonych przez siebie działań lub świadczonych usług.
– przedsiębiorców, którzy zostali zwolnieni ze stosowania rozporządzenia DORA, czyli Rozporządzenia w sprawie operacyjnej odporności cyfrowej dla sektora finansowego
Dyrektywa nakłada na organizacje obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, które mają zapobiegać incydentom, ograniczać ich skutki oraz zapewniać ciągłość działania. Wśród kluczowych wymagań znajdują się m.in. konieczność prowadzenia regularnych analiz ryzyka, stosowania procedur zarządzania incydentami, zapewnienia bezpieczeństwa łańcucha dostaw oraz ochrony przed nieautoryzowanym dostępem do danych. Duży nacisk położono również na obowiązki w zakresie raportowania incydentów bezpieczeństwa do adekwatnych organów nadzorczych w ściśle określonych terminach.
Nieprzestrzeganie dyrektywy NIS2 wiąże się z poważnym ryzykiem dla przedsiębiorstw. Pierwszą możliwością są wysokie kary finansowe bowiem podmioty najważniejsze mogą zostać obciążone choćby do 10 mln euro lub 2% rocznego globalnego obrotu, a podmioty ważne do 7 mln euro lub 1,4% obrotu, w zależności od tego, która kwota jest wyższa.
Poza grzywnami organy nadzorcze mogą nakładać obowiązki naprawcze, wydawać ostrzeżenia, wymagać informowania opinii publicznej o incydentach, a w wyjątkowych sytuacjach zawiesić certyfikacje czy uprawnienia do świadczenia usług. Kierownictwo odpowiedzialne za naruszenia może zostać czasowo odsunięte od pełnienia funkcji.
Skutki wykraczają jednak poza aspekty finansowe. Naruszenia NIS2 grożą utratą reputacji, osłabieniem zaufania klientów i partnerów oraz zakłóceniami w działaniu firmy. Koszty przywracania systemów i reagowania na incydenty często przewyższają wysokość kar. W związku z tym zgodność z dyrektywą stanowi nie tylko wymóg prawny, ale także strategiczną decyzję chroniącą stabilność i wizerunek przedsiębiorstwa.
