Dyrektywa NIS2, czyli nowa regulacja UE w obszarze cyberbezpieczeństwa, znacząco zwiększa liczbę podmiotów objętych obowiązkami. Wynika to z ujednolicenia kryteriów identyfikacji. Ponadto, dyrektywa określa konkretne wymagania, które muszą zostać wdrożone. 

Czym jest Dyrektywa NIS2? 
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej (Dyrektywa NIS2) weszła w życie 16 stycznia 2023 r. Kładzie nacisk na wymagania związane z bezpieczeństwem, w tym m.in. kwestie zapewnienia bezpieczeństwa łańcucha dostaw, obowiązki informacyjne oraz mechanizmy kontrolno-nadzorcze ze strony organów państwowych. Ponadto NIS2 ustala podstawowe kryterium do identyfikacji podmiotów (oparte o wielkość przedsiębiorstwa), które będą objęte nowymi regulacjami, a także wskazuje nowe zasady raportowania incydentów bezpieczeństwa. Istotne są także wymagania w kontekście obowiązku utrzymania ciągłości działania w sytuacji awaryjnej. Dyrektywa NIS2 wymaga wdrożenia w Polsce w drodze przyjęcia odpowiedniej ustawy (nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa)

Kogo obejmie NIS2?
W NIS2 wskazano na 18 sektorów gospodarki, z których podmioty (prywatne lub publiczne) będą zobowiązane do wdrożenia wzmocnionych wymagań cyberbezpieczeństwa. Wśród sektorów mamy m.in. energetykę, ochronę zdrowia, producenci i dystrybutorzy leków, transport, infrastrukturę cyfrową (np. dostawcy usług chmurowych), dostawców usług zarządzanych ICT, producentów i dystrybutorów żywności, producentów m.in. komputerów, sektor motoryzacyjny, czy producenci i dystrybutorzy chemikaliów.

Jak dowiem się czy moja organizacja podlega pod NIS2? 
NIS2 zaleca ustanowienie procesu samoidentyfikacji, czyli to podmioty będą musiały same ustalić, czy podlegają pod dyrektywę. Najczęściej proces ten będzie względnie prosty, lecz w niektórych przypadkach wymagana może być pogłębiona analiza np. w kontekście przedsiębiorców działających w sektorze produkcji. W projekcie polskiej regulacji wdrażającej NIS2 wskazano wprost, że taka analiza podlegania jest obowiązkiem podmiotów.

NIS2 wprowadza jasne kryteria pozwalające rozpoznać czy dana organizacja znajduje się w zakresie regulacji. Co istotne, są one uniwersalne, czyli będą obowiązywały we wszystkich 27 państwach UE, niezależnie od tego, czy jakiekolwiek państwo zdecyduje się na ustanowienie dodatkowych kryteriów, czy -wymagań. Kryteria są dwa: wielkość przedsiębiorstwa oraz fakt świadczenia usług lub prowadzenia działalności na terenie UE w jednym z 18 sektorów gospodarki wskazanych w dyrektywie.

NIS2 uznaje podmiot (publiczny lub prywatny) za objęty zakresem regulacji, o ile spełnia kryterium średniego przedsiębiorstwa. Oznacza to, że każda organizacja zatrudniająca 50 i więcej pracowników oraz generująca roczne obroty ponad 10 mln EUR lub posiadająca sumę bilansową ponad 10 mln EUR i równocześnie świadcząca na terenie UE wskazane w dyrektywie usługi, automatycznie zaliczana jest do zakresu NIS2. Zatem pierwszym krokiem, który powinna podjąć organizacja, jest analiza profilu działalności (świadczonych usług) oraz określenie wielkości przedsiębiorstwa. Należy także mieć na uwadze, że NIS2 wprowadza kilka wyjątków od zasady „średniego przedsiębiorstwa”. Dyrektywa wskazuje wprost na kilka kategorii usług, w których podmioty zostają automatycznie zaliczone w zakres NIS2 niezależnie od wielkości przedsiębiorstwa. Są to podmioty świadczące kilka typów usług cyfrowych (sektor infrastruktura cyfrowa) np. dostawy usług DNS, czy kwalifikowanych usług zaufania.

Warto więc przeprowadzić wstępną ocenę już teraz, aby mieć więcej czasu na ewentualne dostosowanie się do nowych wymagań. Sprawdź czy Twoja organizacja będzie objęta wymogami NIS2.

Należy jednak pamiętać, iż dyrektywa NIS2 wprowadza minimum harmonizacji, co oznacza, iż kraje mogą wprowadzić dodatkowe kryteria podlegania pod regulację.

Znasz już profil i wielkość firmy – co dalej? 
Poprzednia regulacja UE w zakresie cyberbezpieczeństwa (NIS1 z 2016 r.) sprawiła, że to instytucje państwa (tzw. organy właściwe) stały się odpowiedzialnymi za prowadzenie procesu identyfikacji i podejmowania decyzji w zakresie podmiotów, które wpisują się w zakres regulacji. NIS2 zmienia to podejście.

NIS2 przewiduje ustanowienie przez państwa mechanizmów pozwalających podmiotom na dokonanie samodzielnej rejestracji. Czyli to na podmiocie spoczywa nie tylko obowiązek sprawdzenia, czy znajduje się w zakresie regulacji, ale także jest on zobowiązany powiadomić o tym właściwy organ państwowy, który będzie odpowiedzialny za prowadzenie krajowego rejestru podmiotów (zgodnie z zasadami i procedurami przyjętymi w odpowiednich regulacjach krajowych).

W projekcie polskiej regulacji wdrażającej NIS2 regulator określił zasady oraz procedury umożliwiające samorejestrację w wykazie podmiotów podlegających zakresowi NIS2, w tym m.in. terminy na dokonanie rejestracji.

W jaki sposób NIS2 wpłynie na Twoją organizację?
NIS2 proaktywnie podchodzi do zarządzania ryzykiem. Podmioty objęte NIS2 są zobligowane do wdrożenia odpowiednich polityk bezpieczeństwa w celu zapewnienia systematycznej i pogłębionej analizy ryzyka. Polityki te powinny bazować na podejściu uwzględniającym wszelkie możliwe ryzyka dla bezpieczeństwa systemów ICT, w tym także te związane z bezpieczeństwem fizycznym (all-hazard approach). Organizacje powinny wdrożyć odpowiednie środki (techniczne, operacyjne i organizacyjne) zapewniające oczekiwany poziom cyberbezpieczeństwa w organizacji.

Środki zarządzania ryzykiem powinny być proporcjonalne do oszacowanego ryzyka i obejmować m.in. takie obszary jak: zarządzanie incydentami bezpieczeństwa, zapewnienie bezpieczeństwa systemów ICT, utrzymanie ciągłości działania oraz bezpieczeństwo zasobów ludzkich.

Dyrektywa reguluje wymagania i obowiązki dla dwóch kategorii podmiotów: kluczowych i ważnych. To rozróżnienie wynika z podziału sektorów gospodarki na te dwie kategorie w NIS2. Co istotne, wymagania w zakresie cyberbezpieczeństwa są takie same. Różne natomiast są: podejście do nadzoru przez organy państwowe (podmioty kluczowe ex ante, a podmioty ważne ex post) oraz możliwe do zastosowania kary administracyjne, które w NIS2 są ujednolicone na poziomie UE i mogą być dotkliwe dla podmiotów (różne limity możliwych kar finansowych dla obu kategorii: kluczowe - maksymalnie 10 mln EUR lub do 2% rocznego obrotu oraz ważne - maksymalnie 7 mln EUR lub do 1,4% rocznego obrotu).

Warto pamiętać, że dyrektywa jest minimalną harmonizacją na poziomie UE. Państwa członkowskie mogą ustanowić dodatkowe wymagania w regulacjach krajowych.

Kiedy NIS2 stanie się obowiązującym prawem?
Państwa UE miały obowiązek wdrożyć regulację unijną do krajowego porządku prawnego, np. przy pomocy ustawy, do 17 października 2024 r. Dotychczas jedynie kilka państw UE zadeklarowało, że przyjęły odpowiednie regulacje krajowe. W większości państw, w tym także w Polsce, nadal trwają procesy legislacyjne a państwa są w różnym stopniu zaawansowania tych prac. Stąd też rekomendujemy stałe monitorowanie prac nad odpowiednią krajową regulacją.

Co istotne, organizacje, które prowadzą działalność w kilku państwach UE mogą znajdować się w sytuacji, w której jedna z lokalizacji będzie podlegać regulacji (np. we Włoszech, w Belgii lub Rumunii), a inna już nie, gdyż nie zostały jeszcze przyjęte odpowiednie regulacje krajowe. W rezultacie każdorazowo taka firma zobowiązana będzie do przeanalizowania regulacji państwa, na którego terenie prowadzona jest działalność.

Warto już teraz, nie czekając na odpowiednie przepisy krajowe, dokonać oceny gotowości organizacji do minimalnych wymogów określonych dyrektywą NIS2.

Ocena pozwoli zidentyfikować ewentualne luki lub obszary w politykach dot. cyberbezpieczeństwa, które wymagać będą aktualizacji lub wręcz opracowania nowych. Organizacje, które obecnie podlegają pod wymogi dyrektywy NIS1. także powinny dokonać przeglądu polityk oraz procedur, przede wszystkim w zakresie zarządzania ryzykiem oraz obowiązków informacyjnych. Ocena zgodności oraz analiza ewentualnych luk umożliwią przygotowanie kompleksowej strategii dostosowania się do NIS2.

Szymon Grabski, Senior Manager, Cybersecurity
Tomasz Wlaź, Senior Associate, Cybersecurity