Dyrektywa NIS 2 weszła w życie 16 stycznia. Zmiany dotyczą między innymi infrastruktury krytycznej i cyfrowej. Banki, elektrownie, wodociągi, a także niektórych operatorów telekomunikacyjnych, czekają spore zmiany.
O zagrożeniach ze strony hakerów i skutkach, jakich najbardziej obawiają się polskie firmy, piszemy na naszym portalu regularnie. Działania hakerów są coraz też częściej porównywane do aktów terroru, zdaniem ekspertów jest to także jeden ze sposobów prowadzenia wojny, szczególnie jeśli dotyczy to celów stanowiących infrastrukturę krytyczną.
Jednocześnie europejscy decydenci podkreślali, że obowiązujące dotychczas rozwiązania prawne są nieskuteczne wobec tych niebezpieczeństw.
Dyrektywa NIS 2 ma to zmienić. Państwa UE zobowiązują się w niej ściślej współpracować w ramach zwalczania cyberprzestępczości. MA też zostać powołana Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi. Państwa mają być też zobowiązane do przeznaczania większych środków na wzmocnienie swojego cyberbezpieczeństwa.
Idea dyrektywy NIS 2
Dyrektywa NIS 2 ma ułatwić zarządzanie ryzykiem, w związku z czym wprowadza dwie jasne kategorie podmiotów istotnych dla funkcjonowania każdego z państw: kluczowe i ważne.
– Dyrektywa NIS2 oznacza rewolucję w zakresie cyberbezpieczeństwa, w dużej mierze ze względu na wyraźne poszerzenie zakresu podmiotów objętych dyrektywą – pisała na naszych łamach Kinga Pawłowska-Nojszewska, radczyni prawna Krajowej Izby Komunikacji Ethernetowej. – Z dyrektywy NIS2 wynika m.in. także i to, że podmioty kluczowe i ważne (czyli zasadniczo podmioty krajowego systemu cyberbezpieczeństwa oraz dostawcy publicznych sieci i usług łączności elektronicznej) powinny samodzielnie zarządzać ryzykiem w swoich sieciach i systemach informatycznych, w sposób adekwatny dla danego podmiotu (art. 21 dyrektywy NIS2).
Podmioty te zostaną także objęte szczególnymi środkami nadzoru i egzekwowania przepisów, skonstruowanymi w oparciu o cztery założenia: skuteczność, proporcjonalność, odstraszenie i dostosowanie do indywidualnego przypadku. Różnica pomiędzy podmiotami ważnymi i kluczowymi wyraża się natomiast w stosowaniu środków nadzoru. W przypadku podmiotów ważnych audyty są przeprowadzane po naruszeniach i nie będą one objęte kontrolami wyrywkowymi.
Zdaniem ekspertów NIS 2 oznacza powszechną mobilizację i współodpowiedzialność. Dyrektywa rozszerza definicje sektorów i rodzajów podmiotów krytycznych objętych regulacjami na polu cyberbezpieczeństwa.
Dyrektywa objęła swym parasolem 11 sektorów: energetykę, transport, bankowość, infrastrukturę rynku finansowego, ochronę zdrowia, wodociągi, spółki wodno-kanalizacyjne, infrastrukturę cyfrowa, administrację publiczną, przestrzeń kosmiczną i produkcję żywności. Firmy z tych obszarów zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, a także przeprowadzania audytów bezpieczeństwa, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom.
System kar
Organizacje, które nie dostosują się do nowych przepisów czekają poważne konsekwencje. Za nieprzestrzeganie przepisów grozi grzywna do 2 proc. globalnych obrotów. W pierwszej kolejności firmy zostaną jednak wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek. Mogą oni zostać zawieszeni w ramach funkcji.
– Twórcom nowych reguł zależało na tym, by były one skuteczne i egzekwowalne. Największa odpowiedzialność spoczywa na operatorach infrastruktury krytycznej. Obiekty takie jak elektrownie, stacje uzdatniania wody czy rafinerie w coraz większym stopniu polegają na technologii niewymagającej udziału człowieka. Podłączone do sieci, komunikujące się między sobą urządzenia nie tylko ułatwiają zarządzanie dostawami i zwiększają wydajność, ale stanowią też punkt krytyczny całego systemu. Skuteczny atak na ten obszar mógłby uruchomić katastroficzny scenariusz dla gospodarki i społeczeństwa. Dlatego ich odpowiednie zabezpieczenie stanowi dziś główne wyzwanie dla zarządców spółek – tłumaczy ekspert z ICsec.
Polska się nie spieszy
Na początku stycznia w wykazie prac legislacyjnych i programowych Rady Ministrów pojawiła się kolejna wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
– Prace nad projektem nowelizacji ustawy o KSC trwają tak długo, że w Unii uchwalono już nową dyrektywę, regulującą wspólny wysoki poziom cyberbezpieczeństwa i zastępującą wcześniejszą dyrektywę NIS – zauważa Kinga Pawłowska-Nojszewska.
Warto też zaznaczyć, że w projekt wprowadza też niezwykle istotną w kontekście wykonania postanowień dyrektywy NIS 2 kategorię Operatora Strategicznej Sieci Bezpieczeństwa. Będzie to jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny, który posiada infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Musi on też posiadać środki techniczne i organizacyjne, zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej, czy świadectwo bezpieczeństwa przemysłowego pierwszego stopnia.
Na implementacje dyrektywy NIS 2 będziemy musieli poczekać. Zanim projekt zostanie skierowany do Sejmu, musi się nim zająć Komitet Stały Rady Ministrów. Niestety odkłada to w czasie także współpracę strategicznych podmiotów przy tworzeniu strategii bezpieczeństwa, zgłaszania incydentów i zasad przyznawania certyfikatów. Zagrożenie w tym czasie narasta.