Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zwana NIS 2, nowelizująca przepisy unijne w zakresie regulowanym poprzednio dyrektywą 2016/1148, w najbliższych dniach opublikowana zostanie w Dzienniku Urzędowym Unii Europejskiej i wejdzie w życie dwudziestego dnia po publikacji. Co zmieni dla podmiotów do tej pory uznawanych za operatorów usług kluczowych, dostawców usług cyfrowych lub podmioty publiczne? Jakie obowiązki zostaną na nie nałożone?
Podmioty kluczowe i ważne
Przede wszystkim należy zauważyć, że w dyrektywie NIS 2 dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne ustępuje miejsca rozgraniczeniu na podmioty kluczowe i ważne. Co istotne, rozszerzeniu ulega katalog sektorów objętych działaniem dyrektywy. Sektory kluczowe wymienione zostały w załączniku I do dyrektywy, zaś ważne w załączniku II. Taki podział nie przesądza jednak jeszcze o uznaniu danego podmiotu za kluczowy czy ważny. Za podmioty kluczowe uznaje się:
„Średnie przedsiębiorstwa” należy w tym kontekście rozumieć jako przedsiębiorstwa (na podstawie art. 2 załącznika do zalecenia 2003/361/WE):
- zatrudniające co najmniej 50 i nie więcej niż 250 osób oraz
- których obroty roczne lub roczna suma bilansowa wynoszą od 10 mln EURO do 50 mln euro.
O ile zastrzeżeń przy uznaniu podmiotu za kluczowy jest sporo, o tyle przy uznaniu za ważny należy kierować się w zasadzie tylko dwoma wskazówkami. Podmiotami ważnymi na gruncie dyrektywy NIS2 są:
Jak wynika z powyższego, prawodawca unijny dokonał zasadniczych zmian w katalogu podmiotów objętych dyrektywą.
Za podmiot kluczowy i ważny co do zasady mogą być uznane podmioty będące co najmniej średnim przedsiębiorstwem, dyrektywa zawiera jednak szereg wyjątków w tym zakresie. W art. 2 ust. 2 NIS 2 określono przypadki stosowania opisywanego aktu prawnego bez względu na wielkość podmiotu. Wynika z tego, że podmioty mogą zostać uznane za kluczowe lub ważne jeśli:
Należy również pamiętać, że dyrektywy NIS 2 nie stosujemy do kilku grup podmiotów:
- podmiotów administracji publicznej prowadzących działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa (w tym prewencji przestępstw, prowadzenia postępowań, wykrywania przestępstw i ich ścigania);
- określonych podmiotów, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania, lub które świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, o których mowa w pkt. wyżej, które zostaną zwolnione przez państwa członkowskie z obowiązków ustanowionych w art. 21 lub 23 w odniesieniu do tych działań lub tych usług. Zwolniony podmiot nie podlega pod przepisy dotyczące nadzoru i egzekwowania przepisów (rozdział VII) w zakresie zwolnionej działalności. Jeżeli powyższa działalność jest jedyną, jaką prowadzi podmiot, może zostać zwolniony również z obowiązków wynikających z art. 3 i 27 (przekazanie danych w celach rejestracyjnych).
Na powyższych zasadach nie można jednak zwolnić z obowiązków dostawców usług zaufania.
- NIS2 nie stosuje się do podmiotów, które zostały zwolnione ze stosowania DORA, zgodnie z art. 2 ust. 4 tego aktu.
Prawodawca unijny przewidział, że w terminie do 27 miesięcy od dnia wejścia w życie NIS 2, państwa członkowskie ustanowią wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. W tym celu podmioty przekażą mu dane adresowe, kontaktowe, sektor i podsektor oraz wykaz państw członkowskich, w jakich świadczą usługi. Każda zmiana w tym zakresie będzie notyfikowana państwu członkowskiemu w terminie dwóch tygodni. Dyrektywa przewiduje również, że państwa członkowskie mogą ustanowić mechanizmy umożliwiające samodzielną rejestrację.
Liczba podmiotów kluczowych i ważnych w każdym sektorze i podsektorze będzie sprawozdawana Komisji i Grupie Współpracy, razem z istotnymi informacjami na temat tych podmiotów (sektor/podsektor, rodzaj świadczonej usługi, podstawa prawna wskazania za dany podmiot).
Obowiązki podmiotów kluczowych i ważnych
Dyrektywa wprowadza prawie takie same obowiązki dla podmiotów kluczowych i ważnych – każdy podmiot ma obowiązek wprowadzić dane środki. Jednak – co istotne – mają one uwzględniać w pewnym stopniu specyfikę danej organizacji. W pierwszej kolejności prześledźmy rodzaje obowiązków, jakich od podmiotów kluczowych i ważnych wymaga prawodawca unijny i przyjrzyjmy się tym, które wymagają omówienia.
Środki zarządzania ryzykiem w cyberbezpieczeństwie
Zgodnie z dyrektywą, jednym z podstawowych obowiązków zarówno podmiotów kluczowych, jak i ważnych, jest wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w dwóch celach. Po pierwsze, aby zarządzać ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług. Po drugie, w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami. Prawodawca unijny nie skonkretyzował środków dla każdej grupy podmiotów, ale wprowadził pewną elastyczność, zastrzegając, że wprowadzone w danej organizacji środki zarządzania ryzykiem w cyberbezpieczeństwie mają być:
- proporcjonalne,
- uwzględniające stopień narażenia podmiotu na ryzyko,
- uwzględniające wielkość podmiotu,
- uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.
W przypadku stwierdzenia niezgodności środków wdrożonych z wymaganiami dyrektywy, podmiot zobowiązany będzie do bezzwłocznego zastosowania środków naprawczych.
W ramach obowiązku wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, dyrektywa NIS2 zobowiązuje podmioty do zapewnienia co najmniej:
Środki zarządzania ryzykiem w cyberbezpieczeństwie mają być zatwierdzane przez organy zarządzające podmiotu. Żeby prawidłowo realizować te obowiązki, organy te zobligowane zostały do regularnych szkoleń. Państwa członkowskie powinny również zachęcać podmioty do oferowania szkoleń także innym pracownikom.
Zgłaszanie incydentów
Obowiązek zgłoszenia
Podobnie jak w uchylanej dyrektywie NIS, nowe regulacje zobowiązują podmioty do zgłaszania incydentów. Chodzi o incydenty poważne – żeby lepiej zrozumieć sens tej regulacji, warto zapoznać się z definicjami legalnymi wynikającymi z nowej dyrektywy:
Samo zgłoszenie nie nakłada na podmiot zgłaszający zwiększonej odpowiedzialności. Podczas zgłaszania incydentów należy pamiętać o następujących obowiązkach:
- Zgłoszenie incydentu poważnego bez zbędnej zwłoki;
- Powiadomienie w stosownych wypadkach odbiorców usług o takich poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają;
- Zgłoszenie m.in. informacji umożliwiających ustalenie transgranicznego wpływu incydentu;
- Poinformowanie odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie; w stosownych wypadkach również należy ich poinformować o samym poważnym cyberzagrożeniu;
Do celów zgłoszenia przedkłada się (podany czas liczy się od momentu powzięcia wiedzy o poważnym incydencie):
a) bezzwłocznie (max. 24 h) – wczesne ostrzeżenie ze wskazaniem, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny; oraz
b) bezzwłocznie (max. 72 h) – zgłoszenie incydentu z ewentualną aktualizacją powyższych informacji, i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu; dostawca usług zaufania dokonuje zgłoszenia w ciągu 24 godzin.
Na wniosek CSIRT lub, jeżeli ma to zastosowanie, właściwego organu – podmiot składa sprawozdanie okresowe na temat odpowiednich aktualizacji statusu. Sprawozdanie końcowe składa się nie później niż miesiąc po zgłoszeniu incydentu (dokonanego w ciągu 72 h). Zawiera ono następujące elementy:
- szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
- rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była
źródłem incydentu; - zastosowane i wdrażane środki ograniczające ryzyko;
- w stosownych przypadkach transgraniczne skutki incydentu.
Jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, podmioty przedstawiają w tym momencie sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia przez nich obsługi incydentu.
W stosownych przypadkach, zwłaszcza gdy poważny incydent dotyczy co najmniej dwóch państw członkowskich, CSIRT, właściwy organ lub pojedynczy punkt kontaktowy bez zbędnej zwłoki informują o tym poważnym incydencie pozostałe państwa członkowskie, których on dotyczy, a także ENISA.
Po dokonaniu wczesnego ostrzeżenia, CSIRT lub właściwy organ odpowiada podmiotowi zgłaszającemu, w tym przekazuje mu wstępne informacje zwrotne na temat poważnego incydentu oraz, na wniosek podmiotu, wytyczne lub porady operacyjne dotyczące wdrożenia możliwych środków ograniczających ryzyko; jeśli poważny incydent miał cechy przestępstwa – CSIRT/właściwy organ informują również organy ścigania. Na wniosek zainteresowanego podmiotu CSIRT zapewnia dodatkowe wsparcie techniczne.
Na wniosek CSIRT/właściwego organu pojedynczy punkt kontaktowy przekazuje zgłoszenia incydentów, otrzymane w razie wystąpienia transgranicznego lub międzysektorowego, pojedynczym punktom kontaktowym w innych państwach członkowskich, których dotyczy incydent.
Niektóre kategorie podmiotów (m.in. dostawcy usług DNS, rejestrów nazw TLD, usług chmurowych) zostaną objęte aktami wykonawczymi doprecyzowującymi incydenty poważne w ich zakresie.
Dobrowolne zgłaszanie ważnych informacji
W uzupełnieniu obowiązków w zakresie zgłaszania incydentów poważnych, następujące podmioty mogą dobrowolnie przekazywać zgłoszenia do CSIRT lub w stosownych przypadkach właściwym organom:
- podmioty kluczowe i ważne w przypadku incydentów, cyberzagrożeń i potencjalnych zdarzeń dla cyberbezpieczeństwa;
- inne podmioty, niezależnie od tego, czy są objęte zakresem stosowania niniejszej dyrektywy, w odniesieniu do poważnych incydentów, cyberzagrożeń oraz potencjalnych zdarzeń dla cyberbezpieczeństwa.
Dobrowolne zgłoszenia są rozpatrywane zgodnie z procedurą przewidzianą do rozpatrywania zgłoszeń incydentów poważnych, przy czym zgłoszenia obowiązkowe mogą być traktowane priorytetowo. W razie potrzeby są przekazywane do pojedynczych punktów kontaktowych, z zachowaniem poufności i ochrony informacji przekazanych przez zgłaszającego. Zgłoszenie nie nakłada dodatkowych obowiązków na zgłaszającego.
Podsumowanie
- Dyrektywa NIS 2 dotyczy podmiotów kluczowych i ważnych z sektorów wymienionych w załącznikach, które co do zasady są co najmniej średnimi przedsiębiorstwami (dyrektywa przewiduje w tym zakresie kilka wyjątków).
- Na podmioty kluczowe i ważne nałożono takie same obowiązki, mają jednak one być stosowane proporcjonalnie do specyfiki danego podmiotu.
- Najważniejsze obowiązki pomiotów kluczowych i ważnych to wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych.
- Środki nadzoru i egzekwowania przepisów w dyrektywie NIS 2 opisaliśmy TUTAJ.