Bardzo często otrzymujemy pytania dotyczące Dyrektywy NIS2. Bezpośrednią inspiracją napisania niniejszego teksty były pytania zadane przez jednego z przedsiębiorców: O co chodzi z tą NIS2? Co mam z nią zrobić? Czy muszę coś z nią robić?
“Uczestniczyłem w kilku prelekcjach na temat NIS2 ale nic z tego nie rozumiem. Przedstawiono jakieś przepisy z różnych aktów prawnych, omówiono tabelki i sposób ich wypełnienia, wszystko bardzo mądrze brzmiało, ale w dalszym ciągu nic z tego nie rozumiem. Czy z NIS2 nie skończy się jak np. z RODO? Wielki szum a potem prawie cisza!” – napisał przedsiębiorca.
Faktycznie, w ostatnim czasie informacje o NIS2 można znaleźć na każdym kroku. Jeśli jeszcze ktoś poszukuje w Internecie informacji na jej temat, to algorytmy już zrobią swoje i dostarczą bardzo dużo takich informacji. Również w trakcie branżowych zjazdów i konferencji bardzo dużo wystąpień poświęconych jest sprawom bezpieczeństwa, w tym dyrektywie NIS2. Prelekcje te prowadzone są przez kancelarie prawne, informatyków, specjalizujących się w zapewnieniu bezpieczeństwa systemów informatycznych i podmioty zajmujące się głównie ochroną informacji. Mieliśmy okazję uczestniczyć w kilku z nich i muszę się zgodzić, że że niektóre z nich mogły być niezrozumiałe dla osób na co dzień nie zajmujących się ochroną informacji.
Przede wszystkim pragnę podziękować wszystkim tym, którzy w swojej prelekcji (nawet jako zagadnienie uboczne) poruszają sprawy bezpieczeństwa. Jeszcze kilka lat temu, w czasie konferencji przedsiębiorców telekomunikacyjnych byłem jedynym prelegentem przedstawiającym sprawy obronności i bezpieczeństwa, a ja byłem postrzegany jako straszak przedsiębiorców.
Co to jest NIS2?
Dyrektywa NIS2 to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS2).
Dyrektywy, w odróżnieniu od rozporządzeń, nie są stosowane bezpośrednio w państwach członkowskich, ale wymagają, aby państwa członkowskie włączyły ich przepisy do swoich krajowych systemów prawa. W Polsce już kilka lat rozpoczął się ten proces, poprzez podjęcia prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa.
Pamiętać należy, że na podstawie Dyrektywy NIS2 wydano kilka rozporządzeń, które nie wymagają transpozycji do krajowego systemu prawnego i należy stosować je bezpośrednio, np. znane już rozporządzenia DORA.
Czy dotyczy to każdego przedsiębiorcy telekomunikacyjnego?
Tak, wszyscy przedsiębiorcy, którzy są umieszczeni w Rejestrze Przedsiębiorców Telekomunikacyjnych UKE, z urzędu zostaną objęci obowiązkami wynikającymi z NIS2, a określonymi w znowelizowanej ustawie o Krajowym Systemie Cyberbezpieczeństwa (uKSC). Staną się, w myśl przepisów uKSC podmiotami kluczowymi lub ważnymi
Przedsiębiorcy telekomunikacyjni świadczący usługi na rzecz instytucji finansowej obowiązani są przestrzegać zasad określonych w rozporządzeniu DORA, które obowiązuje od 17 stycznia 2025 r. Wielu telekomów zostało już „uszczęśliwionych” nowymi umowami lub aneksami do umów świadczenia usług na rzecz podmiotów finansowych. Sugerują bardzo dokładnie przeczytać
Natomiast przedsiębiorcy telekomunikacyjni którzy będą (między innymi) administratorami serwerów DNS lub będą świadczyć usługi w sieci innego podmiotu (w infrastrukturze innego podmiotu) podlegać będą obowiązkom określonym w Rozporządzeniu Wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r., które obowiązuje od 7 listopada 2024 r.
Jakie obowiązki z tego wynikają?
Projekt ustawy o zmianie ustawy o KSC przewiduje nałożenie na podmiot kluczowy i ważny szeregu obowiązków, w tym opracowanie, wdrożenie, stosowanie i aktualizację dokumentów normatywnych i operacyjnych dotyczących bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.
Projekt ustawy o zmianie ustawy o KSC nakłada na podmiot kluczowy i/lub ważny szereg obowiązków w tym opracowanie, wdrożenie, stosowanie i aktualizację dokumentów normatywnych i operacyjnych dotyczących bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług
Do dokumentów normatywnych zaliczono wszelkie dokumenty dotyczące bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.
Warto zwrócić uwagę, że Dyrektywa NIS2, a za nią uKSC, posługuje się pojęciem „system informacyjny”, który nie jest tożsamy z „systemem informatycznym”.
System informacyjny to człowiek i przetwarzana przez niego informacja.
System informatyczny, to jedno z wielu narzędzi wykorzystywanych przez człowieka do przetwarzania informacji, składający się (pisząc najprościej) ze sprzętu komputerowego wyposażonego w odpowiednie oprogramowanie, linii telekomunikacyjnych łączących te komputery, itp.
Dokumentację normatywną stanowią polityki, regulaminy, instrukcje, procedury, informacje, upoważnienia określające w szczególności:
− bezpieczeństwo przedsiębiorstwa,
− bezpieczeństwo informacji,
− bezpieczeństwo rodzajów informacji,
− bezpieczeństwo sieci i systemów informatycznych,
− bezpieczeństwo środowiskowe i fizyczne,
− obsługę incydentów,
− zarządzanie aktywami,
− bezpieczeństwo zasobów ludzkich,
− podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
− kontrolę dostępu, kryptografię i szyfrowanie,
− ciągłość działania i zarządzanie kryzysowe,
− bezpieczeństwo łańcucha dostaw,
− bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
− ocenę skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
– itp.
Dokumentację operacyjną natomiast stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych. Rejestry zdarzeń, logowań itp..
Zarówno dokumentacja normatywna jak i operacyjna może być prowadzona w postaci papierowej lub w postaci elektronicznej.
Należy jednak zapewnić właściwy nadzór nad tą dokumentacją, zapewniając:
− dostępność dokumentów wyłącznie dla osób upoważnionych,
− ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności,
− oznaczanie kolejnych wersji dokumentów,
− ewidencję zmian dokonanych w tych dokumentach.
Dokumenty dotyczącą bezpieczeństwa systemu informacyjnego należy obowiązkowo przechowywać co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania.
Zniszczenie wycofanej z użytkowania dokumentacji potwierdza się protokołem brakowania zawierającym w szczególności: datę protokołu, oznaczenie niszczonej dokumentacji, opis sposobu zniszczenia, dane osoby zatwierdzającej protokół. Protokoły brakowania dokumentacji są przechowywane w sposób trwały (bezterminowo).
Już tylko z powyższego opisu wynika, że obowiązki związane z bezpieczeństwem informacji podmioty kluczowe i ważne będą musiały wykonywać począwszy od dnia wejścia w życie przepisów wydanych na podstawie Dyrektywy NIS2.
