
Nowe wymogi NIS2 – czego dotyczą i zmieniają w funkcjonowaniu firm?
Nieustanny postęp technologiczny niesie za sobą szereg wyzwań związanych z bezpieczeństwem cyfrowym, z którymi zmagają się zwłaszcza firmy działające w sektorach kluczowych dla krajowej gospodarki. Wychodząc naprzeciw ich potrzebom, 16 stycznia 2023 roku na terenie całej Unii Europejskiej przyjęto Dyrektywę NIS2, która kładzie szczególny nacisk na kwestie związane z cyberbezpieczeństwem. O czym dokładnie mówią nowe przepisy i co oznaczają z punktu widzenia przedsiębiorców?
Dyrektywa NIS2 a NIS1 – co się zmienia?
Dyrektywa NIS2, a dokładnie Dyrektywa (UE) 2022/2555, to dokument opublikowany wraz z dniem 16 stycznia 2023 roku przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Jest to następca dyrektywy NIS1, przyjętej w 2016 roku w celu poprawy bezpieczeństwa cyfrowego na terenie Unii Europejskiej. Nowy dokument wprowadza szereg usprawnień i rozszerzeń, mających na celu lepszą ochronę infrastruktury krytycznej oraz sektorów gospodarki przed rosnącymi zagrożeniami cybernetycznymi.
Najważniejszą zmianą jest tu rozszerzenie zakresu regulacji do 18 kluczowych sektorów krytycznych (w porównaniu do 7 sektorów regulowanych przez NIS1), które obejmują m.in. energię, zdrowie, transport, bankowość, sektor publiczny i infrastrukturę cyfrową. Rozszerzenie zakresu infrastruktury cyfrowej ma pomóc w szybszym i bardziej precyzyjnym zgłaszaniu poważnych incydentów związanych z cyberbezpieczeństwem do właściwych organów.
Co ważne, w przeciwieństwie do NIS1 nowa dyrektywa wprowadza bardziej szczegółowe i zaawansowane standardy bezpieczeństwa, które muszą być przestrzegane przez wszystkie przedsiębiorstwa objęte regulacją. Organizacje te są zobowiązane do wdrożenia kompleksowej polityki zarządzania ryzykiem, obejmującej m.in. identyfikację, ocenę oraz kontrolę zagrożeń cyfrowych, jak również przyjęcie odpowiednich środków ochrony danych oraz systemów.
Istotnym elementem NIS2 jest też obowiązek raportowania i zgłaszania incydentów (w tym poważnych naruszeń) przez operatorów usług kluczowych oraz dostawców usług cyfrowych. Termin składania sprawozdania końcowego wynosi 30 dni od daty zgłoszenia lub zakończenia incydentu. Co ważne, operatorzy i dostawcy są zobowiązani również do zgłoszenia w ciągu 24 godzin wstępnego ostrzeżenia o incydentach bezpieczeństwa komputerowego.
Kogo dotyczą nowe przepisy NIS2?
Dyrektywa NIS2 obejmuje firmy działające w sektorach o wysokim stopniu krytyczności, takich jak:
- energetyka, w tym produkcja, dystrybucja, przesyłanie energii elektrycznej oraz punkty ładowania;
- ciepłownictwo i chłodnictwo;
- ropa naftowa, w tym rurociągi produkcyjne, magazynowe i przesyłowe;
- gaz, w tym systemy dostaw, dystrybucji, przesyłu oraz magazynowanie gazu;
- transport lotniczy, kolejowy, wodny i drogowy;
- infrastruktura bankowa i finansowa, w tym instytucje kredytowe, operatorzy systemów obrotu oraz partnerzy centralni;
- zdrowie, w tym placówki świadczące opiekę zdrowotną, producenci kluczowych produktów farmaceutycznych i wyrobów medycznych, a także laboratoria referencyjne UE;
- przedsiębiorstwa dostarczające wodę pitną;
- infrastruktura cyfrowa, w tym dostawcy usług centrów danych, przetwarzania w chmurze, publicznych sieci łączności elektronicznej i dostępnych usług łączności elektronicznej;
- usługi zarządzane przez TIK (technologie informacyjno-komunikacyjne) w relacjach między przedsiębiorstwami.
Dyrektywa NIS2 dotyczy również innych krytycznych sektorów, takich jak:
- usługi pocztowe i kurierskie;
- gospodarka odpadami i ściekami;
- produkcja, wytwarzanie i dystrybucja chemikaliów;
- produkcja, przetwarzanie i dystrybucja żywności;
- produkcja wyrobów medycznych, komputerowych, elektronicznych i optycznych, sprzętu elektrycznego, maszyn, pojazdów silnikowych oraz sprzętu transportowego;
- dostawcy usług cyfrowych, w tym platformy handlowe, wyszukiwarki internetowe oraz sieci społecznościowe.
Warto podkreślić, że obowiązki związane z NIS2 dotyczą podmiotów kluczowych i ważnych, z wykluczeniem podmiotów zatrudniających poniżej 250 pracowników lub z rocznymi obrotami poniżej 50 mln euro.
Nowe wymogi NIS2 a RODO – czy można je łączyć?
NIS2, choć dotyczy nieco innych aspektów bezpieczeństwa niż RODO, również ma na celu ochronę danych oraz systemów przed zagrożeniami. Należy jednak pamiętać, że w sytuacji pojawienia się konfliktów w egzekwowaniu przepisów, pierwszeństwo zawsze mają zasady ochrony danych osobowych. Oznacza to, że administratorzy danych muszą priorytetowo traktować kwestię utrzymania bezpieczeństwa danych osobowych, nawet gdy wdrażają środki cyberbezpieczeństwa w ramach NIS2. Przy ocenie ryzyka związanego z cyberzagrożeniami, takimi jak ataki hakerskie czy rozpowszechnianie szkodliwego oprogramowania, czynniki powinny być analizowane zarówno z perspektywy ochrony danych osobowych, jak i ciągłości świadczenia usług.
Co więcej, chociaż oba akty prawne mogą dotyczyć tych samych zagrożeń, to wciąż różnią się pod względem kryteriów oceny ryzyka. RODO kładzie nacisk na bezpieczeństwo danych osobowych osób fizycznych, natomiast NIS2 uwzględnia szerszy kontekst, czyli konieczność utrzymania funkcjonowania usług kluczowych dla gospodarki. Podczas wdrażania środków cyberbezpieczeństwa konieczne jest zatem rozważenie wymagań obu regulacji. Dodatkowo, podmioty objęte dyrektywą NIS2 są zobowiązane do utrzymania bezpieczeństwa wszystkich systemów informatycznych wykorzystywanych przy prowadzonej działalności, zwiększając tym samym poziom cyberbezpieczeństwa zarówno w kraju, jak i w całej Unii.
Od kiedy obowiązuje NIS2?
Państwa należące do Unii Europejskiej miały obowiązek wdrożenia regulacji unijnej, np. poprzez stosowną ustawę, do 17 października 2024 roku. Warto jednak podkreślić, że Polska, podobnie jak inne kraje UE, nadal pracują nad pełnym wdrożeniem nowych przepisów. Zgodnie z zapowiedziami Ministerstwa Cyfryzacji uchwalenie ustawy powinno nastąpić na początku 2025 roku. Fakt ten nie zwalnia jednak przedsiębiorstw prowadzących działalność na terenie UE z wdrożenia środków na rzecz utrzymania wysokiego poziomu cyberbezpieczeństwa.
Co grozi za nieprzestrzeganie wymogów NIS2?
Przedsiębiorstwa, które nie zastosują się do zapisów nowej dyrektywy, mogą otrzymać ostrzeżenie, a następnie upomnienie. W przypadku dalszego naruszania zasad zarządzania ryzykiem lub zgłaszania incydentów grożą im wysokie kary finansowe w wysokości do 10 milionów euro lub 2% rocznego obrotu (podmioty kluczowe), bądź też do 7 milionów euro lub 1,4 obrotu (podmioty ważne).