Dynamicznie rozwijające się technologie telekomunikacyjne są nieodłączną częścią naszego życia codziennego. Zagwarantowanie ich bezpieczeństwa i integralności jest niezbędne, aby utrzymać cyfrową infrastrukturę na właściwym poziomie. Komisja Europejska, w odpowiedzi na narastające wyzwania związane z zapewnieniem cyberbezpieczeństwa, już wiele lat temu zaproponowała dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej.
Mowa powyżej o dyrektywie NIS, czyli Network and Information Security. Dyrektywa ta została zatwierdzona przez Parlament Europejski w 2016 roku. Co ważne, dyrektywa ta co do zasady nie regulowała rynku telekomunikacyjnego.
Skąd się wzięła dyrektywa NIS 2?
Przyśpieszająca cyfryzacja społeczeństw, wymuszona przez wybuch pandemii COVID-19, rozszerzyła krajobraz cyberzagrożeń. Ponadto, państwa członkowskie wdrożyły dyrektywę NIS w niezwykle różnorodny sposób, co doprowadziło do fragmentacji rynku wewnętrznego w zakresie jego cyberodporności.
W związku z pojawianiem się nowych, licznych niebezpieczeństw oraz potrzebą zwiększenia i ujednolicenia cyberodpodności wszystkich państw członkowskich, przepisy unijne zostały zaktualizowane dyrektywą NIS 2, która weszła w życie 16 stycznia 2023 roku. Co to w praktyce oznacza? Państwa członkowskie są zobowiązane do wdrożenia nowych regulacji do 17 października 2024 roku, uchwalając odpowiednie przepisy w parlamentach krajowych. W Polsce czekamy obecnie na projekt nowej ustawy, dobrze znamy jednak stawiane przed nią wymagania.
Czego będzie dotyczyć rewolucja?
Dyrektywa NIS 2 wprowadza znaczące zmiany w zakresie wymagań dotyczących cyberbezpieczeństwa. Rozszerza liczbę podmiotów prywatnych i publicznych, które są zobligowane do wprowadzenia nowych procedur związanych z cyberbezpieczeństwem, a nowe regulacje w szczególności obejmą przedsiębiorców telekomunikacyjnych.
Należą do nich m.in. nowe procedury obsługi incydentów, zapewnienia ciągłości działania i bezpieczeństwo łańcucha dostaw, procesów nabywania, rozwijania i utrzymania systemów informatycznych oraz nowe polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie. Dyrektywa kładzie duży nacisk na cyberhigienę i szkolenia z zakresu cyberbezpieczeństwa, a także stosowanie kryptografii.
Warto również pamiętać o nowych terminach zgłaszania do CSIRT ostrzeżeń o wykrytych incydentach – 24 godziny oraz zgłaszania samych incydentów – 72 godziny. Terminy są zatem zbliżone do wysokich wymogów określonych w przepisach o ochronie danych osobowych.
Niestety, nowe regulacje określają również wysokie kary za naruszenia przepisów cyberbezpieczeństwa. W niektórych przypadkach mogą one sięgnąć nawet 10 000 000 euro lub 2% rocznego obrotu.
Fundamenty cyberbezpieczeństwa w Polsce i UE
Oczywiście NIS i NIS 2 nie są jedynymi prawnymi fundamentami cyberbezpieczeństwa. Ważnym czynnikiem regulującym cyberbezpieczeństwo są m.in. wytyczne Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
Obecnie w Polsce cyberbezpieczeństwo regulowane jest ustawą o krajowym systemie cyberbezpieczeństwa. Telekomy z kolei muszą pamiętać o regulacjach w ustawie o Prawie telekomunikacyjnym oraz w rozporządzeniu Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług (Dz.U. z 2020 r. poz. 1130).
Co w praktyce oznacza dyrektywa NIS 2?
Cyberbezpieczeństwo staje się coraz ważniejsze w naszym społeczeństwie opartym na nowych technologiach. Dyrektywa NIS 2 oraz inne regulacje wprowadzają nowe wymagania, które przedsiębiorcy i organizacje muszą spełnić, aby utrzymać zaufanie do swoich usług na najwyższym poziomie.
Współpraca z profesjonalistami może pomóc w skutecznym wdrożeniu nowych przepisów. Opracowanie standardów bezpieczeństwa w organizacji wymaga znajomości realiów rynku oraz najbardziej aktualnych regulacji.
Dzięki współpracy z doświadczonymi doradcami, certyfikowanymi audytorami ISO i pentesterami, przedsiębiorcy objęci zmianami mogą skuteczniej wdrożyć środki cyberbezpieczeństwa, spełniając jednocześnie wymagania stawiane przez dyrektywę NIS 2 oraz wytyczne ENISA w zakresie cyberbezpieczeństwa sieci i usług komunikacji elektronicznej.
Więcej aktualnych informacji ze świata telekomunikacji dostępne jest także w Biuletynie kancelarii Prawnej Media. Zapisz się, by być na bieżąco! https://kancelaria.media.pl/biuletyn/
