Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zwana NIS 2, nowelizująca przepisy unijne w zakresie regulowanym poprzednio dyrektywą 2016/1148, w najbliższym czasie opublikowana zostanie w Dzienniku Urzędowym Unii Europejskiej i wejdzie w życie dwudziestego dnia po publikacji. Nakłada ona na podmioty kluczowe i ważne szereg obowiązków, o których pisaliśmy TUTAJ. W jaki sposób organy właściwe będą mogły zagwarantować stosowanie przez te podmioty obowiązków wynikających z dyrektywy? Jakie kary grożą podmiotom za niestosowanie się do nowych regulacji?
Środki nadzoru i egzekwowania przepisów
W celu zagwarantowania przestrzegania przez podmioty kluczowe i ważne obowiązków określonych w dyrektywie, organy właściwe otrzymają szereg instrumentów: środki nadzoru i środki egzekwowania przepisów. Wszystkie środki, zarówno te nakładane na podmioty kluczowe, jak i ważne, mają być skuteczne, proporcjonalne, odstraszające i nakładane stosownie do indywidualnego przypadku. Jednak w przypadku podmiotów ważnych, środki nadzoru nakładane są po naruszeniu (ex post).
| Środek nadzoru | Podmioty kluczowe | Podmioty ważne |
| Kontrole i nadzór | TAK | TAK |
| Wyłącznie ex post | NIE | TAK |
| Kontrole na miejscu | TAK | TAK |
| Wyrywkowe kontrole | TAK | NIE |
| Prowadzone przez przeszkolonych specjalistów | TAK | TAK |
| Nadzór zdalny | TAK | TAK |
| Ukierunkowane audyty bezpieczeństwa | TAK | TAK |
| Regularne | TAK | NIE |
| Prowadzone przez niezależną instytucję lub organ właściwy | TAK | TAK |
| Oparte na oszacowaniach ryzyka przeprowadzonych przez właściwy organ lub badany podmiot bądź na innych dostępnych informacjach dotyczących ryzyka | TAK | TAK |
| Wyniki udostępnia się organowi właściwemu | TAK | TAK |
| Koszt audytu prowadzonego przez niezależną instytucję pokrywa podmiot audytowany (z wyjątkiem uzasadnionych przypadków) | TAK | TAK |
| Audyty doraźne | TAK | NIE |
| W uzasadnionych przypadkach w związku z wystąpieniem poważnego incydentu | TAK | |
| W uzasadnionych przypadkach w związku z naruszeniem dyrektywy przez podmiot kluczowy | TAK | |
| W innych przypadkach | TAK | |
| Skany bezpieczeństwa | TAK | TAK |
| Na podstawie obiektywnych, niedyskryminacyjnych, sprawiedliwych i przejrzystych kryteriów szacowania ryzyka | TAK | TAK |
| W razie potrzeby we współpracy z danym podmiotem | TAK | TAK |
| Wnioski o udzielenie informacji | TAK | TAK |
| Udzielenie informacji wyłącznie ex post | NIE | TAK |
| Informacji niezbędnych do oceny środków zarządzania ryzykiem w cyberbezpieczeństwie przyjętych przez dany podmiot | TAK | TAK |
| W tym udokumentowanej polityki cyberbezpieczeństwa | TAK | TAK |
| W tym zgodność z obowiązkiem przedkładania informacji właściwym organom zgodnie z art. 27 | TAK | TAK |
| We wniosku organ podaje cel i określa informacje, o które wnosi | TAK | TAK |
| Wnioski o udzielenie dostępu do danych, dokumentów i informacji | TAK | TAK |
| Dostęp do danych, dokumentów i informacji koniecznych do realizacji zadań nadzorczych | TAK | TAK |
| We wniosku organ podaje cel i określa informacje, o które wnosi | TAK | TAK |
| Wnioski o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa | TAK | TAK |
| Np. wyniki audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora oraz odpowiednie dowody | TAK | TAK |
| We wniosku organ podaje cel i określa informacje, o które wnosi | TAK | TAK |
Jak wynika z powyższej tabeli, w stosunku do podmiotów ważnych niektóre środki nadzorcze zostały złagodzone lub wyłączone. W przypadku przeprowadzania ukierunkowanych audytów bezpieczeństwa w podmiotach ważnych prawodawca unijny nie wymaga regularności. Nie będzie w nich można także prowadzić wyrywkowych kontroli ani audytów doraźnych.
Aby efektywniej oddziaływać na podmioty, organom właściwym przysługują następujące środki egzekwowania przepisów (środki zapisane kursywą obowiązują podmioty kluczowe, ale nie obowiązują w stosunku do podmiotów ważnych):
Jeśli środki egzekwowania prawa okażą się nieskuteczne, organ właściwy wyznacza termin na usunięcie uchybień lub zapewnienie zgodności (dotyczy przypadków innych niż podmioty publiczne); jeśli działanie mimo to nie zostanie podjęte organ może:
- tymczasowo zawiesić certyfikat lub zwrócić się do organu, który go wydał lub sądu o tymczasowe zawieszenie certyfikatu lub zezwolenia na niektóre lub wszystkie odpowiednie usługi świadczone bądź na część lub całość działalności prowadzonej przez podmiot kluczowy; lub
- zwrócić się do właściwych instytucji lub sądów o nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie kluczowym na osobę fizyczną wykonującą obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego w tym podmiocie.
Osoba fizyczna, odpowiedzialna za podmiot kluczowy lub ważny lub działająca w charakterze przedstawiciela prawnego tego podmiotu, na podstawie uprawnienia do jego reprezentowania, podejmowania decyzji w jego imieniu lub sprawowania nad nim kontroli będzie mogła być pociągnięta do odpowiedzialności za niewywiązanie się z obowiązku zapewnienia przestrzegania niniejszej dyrektywy.
Ponieważ prawodawca unijny zdecydował się wprowadzić dużą elastyczność w zakresie dopasowania obowiązków do rodzaju podmiotu i jego specyfiki, organ właściwy będzie musiał rozważyć różne okoliczności, zanim nałoży środek egzekwowania przepisów na podmiot. Organ ten będzie musiał wziąć pod uwagę:
Organy mają obowiązek uzasadnienia przyjęcia odpowiednich środków egzekwowania prawa, a przed ich przyjęciem zawiadamiają podmioty o przyjętych ustaleniach. Podmioty mogą przedstawić swoje uwagi w rozsądnym terminie, z wyjątkiem należycie uzasadnionych przypadków, gdy utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom lub reakcji na nie.
Administracyjne kary pieniężne
Administracyjne kary pieniężne w Polsce nakładane będą w trybie określonym w Kodeksie postępowania administracyjnego. Na możliwość ich nałożenia nie wpłynie fakt zastosowania środków nadzorczych ani środków egzekwowania przepisów. Sposób naliczania administracyjnej kary pieniężnej również zależał będzie od konkretnej sytuacji, bowiem organ właściwy zobowiązany jest wziąć pod uwagę indywidualne okoliczności (te same, co przy nakładaniu środków nadzoru i egzekwowania przepisów – wymienione wyżej). Państwa członkowskie będą mogły wprowadzić możliwość nakładania na podmioty kar okresowych i zdecydować, czy będą naliczały kary podmiotom administracji publicznej.
Dyrektywa określa maksymalną wysokość kar za naruszenie obowiązków związanych ze środkami zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszania incydentów:
- dla podmiotów kluczowych – 10 000 000 euro lub co najmniej 2% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa),
- dla podmiotów ważnych – 7 000 000 euro lub co najmniej 1,4% rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot (zastosowanie ma kwota wyższa).
Jeśli w czasie nadzoru lub egzekwowania przepisów organ poweźmie wiedzę, że naruszenie obowiązków określonych w art. 21 lub 23 NIS 2 może pociągać za sobą naruszenie ochrony danych osobowych, które podlega zgłoszeniu na podstawie art. 33 RODO, informuje o tym organy nadzorcze ochrony danych osobowych.
Podsumowanie
- W celu zapewnienia realizacji obowiązków przez podmioty kluczowe i ważne prawodawca unijny wyposażył organy właściwe w odpowiednie środki nadzoru i środki egzekwowania przepisów.
- Środki nadzoru w podmiotach ważnych stosowane mają być co do zasady ex post. Dyrektywa NIS 2 nie wprowadza takiego ograniczenia podczas nadzoru podmiotów kluczowych.
- Podczas stosowania środków nadzoru i egzekwowania prawa organy właściwe powinny brać pod uwagę szczególne okoliczności dotyczące samego podmiotu.
- Niezależnie od zastosowanych środków egzekwowania przepisów organy właściwe mogą nakładać na podmioty kary umowne.