W dniu 16 stycznia 2023 r. weszła w życie DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555  z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, zwana dyrektywą NIS 2. Zastąpi ona obecnie obowiązującą Dyrektywę NIS.

Państwa członkowskie mają 21 miesięcy na wdrożenie NIS 2 do porządku krajowego, licząc od daty przyjęcia, czyli do 17 października 2024 r. W Polsce będzie to wymagało przede wszystkim nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Dyrektywa NIS 2 przewiduje 2 zasadnicze obowiązki: wdrożenie środków zarządzania ryzykiem oraz w zakresie zgłaszania poważnych incydentów.

Podmioty kluczowe i ważne

Jedną z istotniejszych zmian, jakie wprowadza NIS 2, jest podział na podmioty kluczowe
i ważne, w miejsce dotychczasowego podziału na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. 

Za podmioty kluczowe uznawane są zasadniczo podmioty wymienione w załączniku nr I do dyrektywy, ale większe niż średnie przedsiębiorstw, oraz:

  1. podmioty zaliczane do kwalifikowanych dostawców usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawców usług DNS, niezależnie od ich wielkości;
  2. podmioty należące do dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, które kwalifikują się jako średnie przedsiębiorstwa;
  3. podmioty administracji publicznej;
  4. inne podmioty w rodzaju tych, o których mowa w załączniku I lub II, które zostały wskazane przez państwo członkowskie jako podmioty kluczowe;
  5. podmioty wskazane jako podmioty krytyczne na podstawie dyrektywy (UE) 2022/2557;
  6. jeżeli państwo członkowskie tak postanowi, podmioty, które to państwo członkowskie wskazało przed 16 stycznia 2023 r. jako operatorów usług kluczowych.
  7. Podmiotami ważnymi na gruncie Dyrektywy NIS 2 są podmioty w rodzaju tych, o których mowa w załączniku I lub II, które nie kwalifikują się jako podmioty kluczowe.

W załączniku I do Dyrektywy NIS 2 jako kluczowe wskazano podmioty z sektorów: energetyka, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (między przedsiębiorstwami), administracja publiczna, przestrzeń kosmiczna.

Podmioty ważne (załącznik II do Dyrektywy NIS 2) to: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja (wyroby medyczne, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy), produkcja i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, dostawcy cyfrowi.

Docelowo ma powstać wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Przegląd wykazu będzie przeprowadzany nie rzadziej niż co 2 lata i w razie potrzeby aktualizowany. 

Odpowiedzialność osób zarządzających

Dyrektywa NIS 2 przewiduje, że organy zarządzające (kierownictwo) podmiotów kluczowych i ważnych zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorują ich wdrażanie i ponoszą odpowiedzialność za naruszenie wymogów określonych w Dyrektywie.

Ponadto członkowie organu zarządzającego mają obowiązek odbywać regularne szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności. Pozwoli im to im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez te podmioty. Analogiczne szkolenia zalecane są pracownikom niższego szczebla zatrudnionym w podmiotach kluczowych i ważnych. 

Środki zarządzania ryzykiem w cyberbezpieczeństwie

Podmioty objęte zakresem Dyrektywy NIS 2 mają obowiązek wdrożenia środków (technicznych, organizacyjnych, operacyjnych) mających na celu identyfikację ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie normalnego działania po ich wystąpieniu oraz łagodzenie ich skutków. Ma to na celu zapobieganie wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000. Należy przy tym uwzględnić najnowszy stan wiedzy oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, a także koszty wdrożenia. Środki zarzadzania ryzykiem powinny być proporcjonalne oraz, uwzględniać specyfikę danego podmiotu. FFFDEA

Jeśli chodzi o konkrety, to podmioty objęte Dyrektywą NIS 2 mają obowiązek zapewnienia: 

  1. polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
  2. obsługi incydentu;
  3. ciągłości działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  4. bezpieczeństwa łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami; 
  5. bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie; 
  6. polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  7. podstawowych praktyk cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  8. polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  9. bezpieczeństwa zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  10. w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Obowiązki dotyczące zgłaszania incydentów

Podmioty kluczowe i ważne mają obowiązek zgłaszania właściwemu CSIRT (lub właściwemu organowi) bez zbędnej zwłoki, incydentów mających istotny wpływ na świadczenie przez nie usług (poważny incydent), a ponadto:

  • powiadomienia bez zbędnej zwłoki, w stosownych przypadkach odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie tych usług;
  • przekazania informacji pozwalających ustalić, czy incydent ma wpływ transgraniczny;
  • powiadomienia bez zbędnej zwłoki w stosownych przypadkach, odbiorców swoich usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych lub innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie; w stosownych przypadkach podmioty te informują również tych odbiorców o samym poważnym cyberzagrożeniu.

Samo zgłoszenie nie nakłada na podmiot zgłaszający zwiększonej odpowiedzialności.

Ponadto podmioty te są zobowiązane na wniosek CSIRT złożyć sprawozdanie okresowe na temat odpowiednich aktualizacji statusu. Sprawozdanie końcowe składa się nie później niż miesiąc po zgłoszeniu incydentu.