Przyjęta w listopadzie 2022 roku, Dyrektywa NIS 2 (Network and Information Security) stanowi istotny krok naprzód w dziedzinie cyberbezpieczeństwa na poziomie europejskim. Jej cel jest prosty, lecz ambitny: wzmocnienie środków bezpieczeństwa we wszystkich państwach członkowskich poprzez ustanowienie wspólnego zestawu standardów bezpieczeństwa w celu ograniczenia ryzyka cyberataków.
Dążenie do poprawy i ujednolicenia ogólnego poziomu cyberbezpieczeństwa w UE nie jest nowym tematem. Już od 2015 roku Komisja Europejska ewoluuje jednolity rynek gospodarczy w jednolity rynek cyfrowy. Obejmuje to stworzenie środowiska sprzyjającego rozwojowi bezpiecznych sieci cyfrowych i usług.
Za tą Dyrektywą kryją się, choćby w sposób dorozumiany, organizacje publiczne i prywatne, które obawiają się ekonomicznych i organizacyjnych konsekwencji wynikających z zaostrzenia środków bezpieczeństwa. Aby lepiej zrozumieć oczekiwania oraz stawki związane z tą Dyrektywą, bez wpadania w panikę, przeprowadziliśmy analizę prawną jej kluczowych punktów, abyś mógł odpowiednio przygotować się na określone w niej terminy.
1. Dyrektywa europejska: o co w niej chodzi?
Dyrektywa i rozporządzenie to dwa rodzaje unijnych aktów prawnych. Różnią się one charakterem, zastosowaniem i stopniem elastyczności przyznanym państwom członkowskim w celu ich wdrożenia.
Rozporządzenie unijne jest aktem prawnym, który po wejściu w życie jest bezpośrednio stosowany w sposób jednolity we wszystkich państwach członkowskich. Jego stosowanie nie wymaga implementacji dodatkowych przepisów krajowych. Rozporządzenia są często wykorzystywane do ujednolicania przepisów i zasad, zapewniając w ten sposób spójne ramy prawne w różnych dziedzinach. Tak jest w przypadku ogólnego rozporządzenia o ochronie danych (RODO), które reguluje przetwarzanie danych osobowych w UE.
Z drugiej strony, dyrektywy unijne są aktami prawnymi, które określają cel lub rezultat do osiągnięcia przez państwa członkowskie. W przeciwieństwie do rozporządzenia, dyrektywy nie jest bezpośrednio stosowana w UE. Oznacza to, że państwa członkowskie muszą przyjąć własne przepisy krajowe, aby wdrożyć cele określone w dyrektywie w ramach własnego systemu prawnego. Mechanizm ten nazywany jest transpozycją. Jest to kluczowy element europejskiego procesu legislacyjnego, ponieważ ma na celu zapewnienie harmonizacji i spójności przepisów w UE.
Państwa członkowskie zasadniczo mają pewną swobodę w sposobie osiągnięcia tych celów, o ile są one zgodne z wymogami dyrektywy. Może to obejmować przyjęcie nowych przepisów, dodatkowych krajowych aktów prawnych lub zmianę istniejących przepisów w celu zapewnienia zgodności z przepisami zawartymi w tekście. Należy zauważyć, że państwa członkowskie są zobowiązane do transpozycji przepisów w określonym terminie. Nieprzestrzeganie tego obowiązku może skutkować sankcjami lub postępowaniem sądowym przeciwko danemu państwu członkowskiemu.
W związku z tym, w zależności od Twojej lokalizacji, będziesz zobowiązany do stosowania prawa transponującego obowiązującego w kraju, w którym prowadzisz swoją działalność. Możliwe jest, że niektóre środki mogą się różnić lub zostać zaostrzone w zależności od państwa członkowskiego.
2. Czy dyrektywa ma na mnie wpływ?
Należy rozważyć cztery scenariusze:
- Twój sektor lub podsektor działalności jest wyraźnie wymieniony w załącznikach 1 i 2 do dyrektywy i spełniasz kryteria wielkości. W takim przypadku dyrektywa NIS 2 będzie miała na Ciebie wpływ. Możesz już ocenić swój poziom bezpieczeństwa wewnętrznego i przeprowadzić wstępną analizę luk w stosunku do obowiązków wynikających z tekstu europejskiego.
- Twój sektor lub podsektor działalności pojawia się w załącznikach w sposób niejasny, w wielu kategoriach lub w kategoriach podlegających interpretacji. W takim przypadku lepiej jest poczekać na prawo krajowe, które rozwieje wątpliwości, ponieważ wyjaśni zakres stosowania poprzez prawo transponujące.
- Twój sektor lub podsektor działalności nie pojawia się w załącznikach i nie spełniasz kryteriów wielkości lub krytyczności. Nadal możesz należeć do wyjątków. W związku z tym będziesz musiał poczekać na prace nad ustawą implementującą.
- Twój sektor lub podsektor działalności znajduje się w załącznikach 1 i 2 do dyrektywy, ale nadal możesz być zwolniony ze stosowania dyrektywy, jeśli angażujesz się w działania związane z obronnością i bezpieczeństwem narodowym.
3. Obowiązki prawne i w zakresie bezpieczeństwa
Dyrektywa wymienia różne obowiązki, które należy wdrożyć, a które zostaną doprecyzowane podczas transpozycji. Niektóre z obowiązków związanych z bezpieczeństwem systemów informatycznych można znaleźć w poniższym artykule: Jak przygotować się na Dyrektywę NIS 2?
Jednym z przykładów jest zwrócenie uwagi na hosting systemów informatycznych w chmurze. Choć korzystanie z tej technologii nie jest zabronione przez dyrektywę, firmy będą musiały zapewnić ochronę i bezpieczeństwo przechowywanych w niej informacji. Konieczne będzie rozważenie, czy możliwe będzie przechowywanie wszystkich danych, niezależnie od ich poziomu wrażliwości, poprzez zastosowanie szyfrowania, czy też będzie to zabronione. Pojawia się również kwestia wyboru dostawców usług w chmurze. Prawdopodobnie wymagana będzie analiza ryzyka i ocena wpływu w celu sklasyfikowania, prześledzenia przepływu danych i przypisania odpowiedzialności w przypadku incydentu bezpieczeństwa i/lub naruszenia danych osobowych.
Oprócz obowiązków w zakresie bezpieczeństwa, będziesz musiał zarejestrować i zadeklarować pewne informacje wymagane przez Dyrektywę NIS 2 właściwemu organowi, takiemu jak Departament Cyberbezpieczeństwa RP.
4. Z jakim organem należy się skontaktować?
W kontekście zgodności krajowe centra koordynacji cyberbezpieczeństwa zapewnią wsparcie organizacjom we wdrażaniu środków bezpieczeństwa i udzielą wyjaśnień na temat przepisów. Organy te będą odpowiedzialne za monitorowanie i nakładanie sankcji na organizacje. Więcej informacji można uzyskać w krajowym ośrodku: Krajowe Centra Koordynacji Cyberbezpieczeństwa.
Możesz również zwrócić się do Alter Solutions, aby wdrożyć podwójne działanie: ochronę systemów informatycznych i ochronę danych osobowych przetwarzanych przez Twoją organizację.
5. Czy dyrektywa NIS 2 jest zgodna z innymi przepisami?
Jednym z wrażliwych punktów transpozycji jest sformułowanie środków cyberbezpieczeństwa. Celem krajowych centrów koordynacji cyberbezpieczeństwa będzie standaryzacja norm, aby uniknąć zwiększania złożoności, promować spójność tekstu i zapobiegać kumulacji norm. Na przykład we Francji ANSSI współpracuje z CNIL, aby uniknąć tworzenia dodatkowej złożoności regulacyjnej w odniesieniu do RODO i umożliwić współistnienie obu przepisów.
Ponadto dyrektywa nie wspomina wyraźnie o roli inspektorów ochrony danych (IOD). Konieczne będzie jednak uwzględnienie, że funkcje te wymagają współpracy między inspektorem ochrony danych a CISO (Chief Information Security Officer) w organizacjach w celu optymalizacji i wzajemnego wykorzystania ich umiejętności.
6. Co z kosztami finansowymi dla organizacji?
Zasoby przeznaczone na wdrożenie środków bezpieczeństwa zgodnie z dyrektywą NIS 2 mogą być kosztowne. Będą one jednak zależeć od aktualnego poziomu dojrzałości cyberbezpieczeństwa. Obecnie nie ma planów, aby krajowe centra koordynacji cyberbezpieczeństwa zapewniały pomoc finansową w tym zakresie, ale będą one oferować narzędzia, przewodniki i zalecenia w celu zmniejszenia związanych z tym kosztów finansowych.
Niemniej jednak należy pamiętać, że w tekście podkreślono podstawową zasadę proporcjonalności. W związku z tym wymagania będą się różnić w zależności od wielkości, krytyczności i sektora działalności organizacji. W przypadku kontroli konieczne będzie wykazanie, że wdrożono niezbędne i wystarczające środki uzasadniające bezpieczeństwo systemów informatycznych.