Przedsiębiorco, uniknij kryzysu i poważnych strat. Przygotuj firmę do NIS 2

Unia Europejska podejmuje działania na rzecz podniesienia poziomu cyberbezpieczeństwa, czego potwierdzeniem są przyjmowane akty prawne. Jednym z kluczowych jest dyrektywa NIS 2, która nakłada konkretne obowiązki na wskazane w przepisach podmioty. Wśród nich znajdują się nie tylko wielkie firmy, ale również mniejsze przedsiębiorstwa. 

W rozmowie z adwokatem Michałem Opałą z Kancelarii Sołtysiński Kawecki & Szlęzak wyjaśniamy m. in. dlaczego tak ważne jest dostosowanie organizacji do unijnych wymogów oraz w jaki sposób wdrożyć odpowiednie rozwiązania, aby działać zgodnie z prawem. 

NIS 2 - co to takiego?

Szymon Palczewski, CyberDefence24: Zacznijmy od absolutnych podstaw. Czym jest dyrektywa NIS 2? 

Michał Opała, adwokat z Kancelarii Sołtysiński Kawecki & Szlęzak: To akt prawny Unii Europejskiej z 14 grudnia 2022 r, mający na celu ujednolicenie i podniesienie poziomu cyberbezpieczeństwa.  Regulacja wymaga implementacji nowych prawnych standardów przez kraje członkowskie Unii Europejskiej. W Polsce wdrożenie przepisów odbędzie się poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).

Czyli można powiedzieć, że NIS 2 to kolejna próba UE na rzecz poprawy stanu cyberbezpieczeństwa Wspólnoty?

NIS 2 zastępuje wcześniejszą dyrektywę NIS, która była pierwszą próbą podniesienia poziomu cyberbezpieczeństwa na poziomie Unii Europejskiej. Ostatecznie, dyrektywa NIS okazała się niewystarczająca, co stanowiło punkt wyjścia dla uchwalenia dyrektywy NIS 2. Poprzednia regulacja obejmowała dość wąsko zdefiniowane sektory, a państwa członkowskie miały dużą swobodę w określaniu ostatecznych rozwiązań, a to doprowadziło do nierównego poziomu ochrony w różnych krajach.

Obowiązki wskazane w NIS 2

Co zatem nowego wprowadza NIS 2? 

Dyrektywa nakłada obowiązki na tzw. podmioty kluczowe i podmioty ważne, działające w sektorach uznanych za istotne dla funkcjonowania społeczeństwa i gospodarki. 

Podstawowym będzie wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) w systemie informacyjnym, wykorzystywanym w procesach wpływających na świadczenie usługi przez te podmioty. 

Zatrzymajmy się na sekundę. Co kryje się pod pojęciem „system zarządzania bezpieczeństwem informacji”? 

Zarówno NIS 2, jak i polski projekt nowelizacjiUKSC nie wprowadza definicji legalnej wspomnianego systemu zarządzania bezpieczeństwem informacji. W praktycznym ujęciu, SZBI to tak naprawdę obowiązek wdrożenia zestawu polityk, procedur, procesów i systemów technologicznych, które mają na celu ochronę informacji w organizacji. Podstawowym zadaniem systemu jest zapewnienie zachowania poufności, integralności, dostępności oraz autentyczności informacji.

Ustawodawca wprowadził szereg elementów, z których powinien składać się SZBI. 

Może Pan wskazać, o jakie elementy chodzi?

Wdrażając SZBI, organizacja powinna dokonać oceny ryzyka w bezpieczeństwie informacji, a także zapewniać dalsze bieżące monitorowanie, pomiar, analizę oraz ocenę ryzyka wystąpienia incydentu. 

Ponadto, system powinien zawierać mechanizmy ciągłego doskonalenia, takie jak obowiązkowe przeglądy polityk, procedur i procesów; gwarantować wewnętrzną sprawozdawczość z ich wykonywania oraz odnotowanych incydentów; sprawdzać czy stosowane rozwiązania są aktualne do zmieniających się potrzeb oraz zagrożeń.

Jakie jeszcze inne nowe obowiązki wprowadza NIS 2?

Do szczególnej kategorii należy zaliczyć nowe obowiązki związane z raportowaniem incydentów do właściwych zespołów CSIRT. 

Podmioty, które z dniem wejścia w życie nowych przepisów będą spełniać przesłanki uznania ich za podmiot kluczowy zostaną zobowiązane do przeprowadzenia pierwszego audytu zgodności w terminie 24 miesięcy od dnia wejścia w życie ustawy. Podmioty kluczowe będą miały ponadto obowiązek zapewnić przeprowadzenie, co najmniej raz na 3 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług.

Kto ma obowiązek stosować przepisy NIS 2?

Kto jest zobowiązany do stosowania przepisów NIS 2? Czy przepisy dotyczą też branży spożywczej?

Nowe przepisy znacząco rozszerzą zakres podmiotów objętych nowymi regulacjami. Dyrektywa dotyczy również branży spożywczej. Podmioty prowadzące działalność gospodarczą w zakresie produkcji i dystrybucji żywności zostały zaliczone do sektora podmiotów ważnych.

Regulacja obejmuje wiele innych sektorów, w tym m.in. sektory energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, ale również sektory obejmujące ścieki, zarządzanie ICT, pocztę, szeroko pojętą produkcję, w tym produkcję i dystrybucję chemikaliów. 

A jeśli chodzi o wielkość organizacji? Jakie kryterium tu zastosowano?

Do stosowania nowych przepisów zobowiązani będą co do zasady co najmniej średni przedsiębiorcy z tych sektorów, a w niektórych przypadkach również przedsiębiorcy niezależnie od wielkości podmiotu.

Surowe kary

Co grozi firmie za niestosowanie przepisów NIS 2?

Polskie regulacje są na etapie przygotowania, jednak projektowane zmiany przewidują surowe kary, jak również szereg mechanizmów, które mają zapewnić realne wykonywanie obowiązków.

Może Pan wyjaśnić, na czym polegają?

Podmioty ważne zostaną objęte nadzorem następczym, a podmioty kluczowe dodatkowo nadzorem prewencyjnym. Organy będą dysponowały szerokim katalogiem narzędzi nadzorczych w szczególności do podmiotów kluczowych. 

W ramach wspomnianego nadzoru, przeprowadzane zostaną kontrole. Co więcej, organy mogą zobowiązywać organizacje do przeprowadzania audytu, czy żądać informacji lub dokumentów. 

W celu egzekwowania przepisów ustawy organy będą miały możliwość nakazać m.in.:

• podjęcie określonych czynności dotyczących obsługi incydentu; 
• poinformowanie odbiorców usług o charakterze zagrożenia oraz możliwych środkach ochronnych lub naprawczych, jakie należy podjąć; 
• wyznaczenia urzędnika monitorującego do nadzorowania realizacji obowiązków;
• publiczne ujawnienie informacji o naruszeniu lub incydencie.

Wskazał Pan, że przepisy przewidują „surowe kary”. O jakich kwotach mówimy?

Za niedostosowanie się do przepisów na podmiot kluczowy może zostać nałożona kara pieniężna do 10 mln euro albo 2% przychodów osiągniętych w roku obrotowym poprzedzającym wymierzenie kary. W przypadku nieskuteczności środków egzekwowania możliwe jest nawet wstrzymanie w całości albo części działalność. 

W stosunku do podmiotów ważnych, ustawodawca przewiduje możliwość nałożenia kary pieniężnej do 7 mln euro lub 1,4% przychodów osiągniętych w roku obrotowym poprzedzającym wymierzenie kary.

Mówimy zatem o sporych kwotach, które mogą poważnie dotknąć budżety firm. A co z odpowiedzialnością władz przedsiębiorstwa?

Nowa regulacja przewiduje odpowiedzialność osobistą władz organizacji. To kierownik podmiotu podlegającego pod ustawę (kluczowego lub ważnego – przyp. red.) będzie ponosił odpowiedzialność za realizację obowiązków w zakresie cyberbezpieczeństwa. 

Mowa o karach w wysokości kilkukrotnego wynagrodzenia, a także tymczasowe zakazy zajmowania kierowniczego stanowiska lub pełnienia funkcji zarządczych w danym podmiocie.

Nie brakuje przypadków, gdzie wspomnianym „kierownikiem” nie jest jedna osoba, lecz grupa ludzi. W jaki sposób rozwiązano tę kwestię?

W przypadku gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna za cyberbezpieczeństwo, odpowiedzialność będą ponosić wszyscy członkowie tego organu. 

Wdrożenie NIS 2 w firmie

Wspomniał Pan wcześniej, że w Polsce wciąż nie przyjęto ustawy, która implementowałaby do krajowego porządku prawnego przepisy NIS 2. Prace nad nowelizacją UKSC cały czas trwają i – jak mówi klasyk – „końca nie widać”. Czy w związku z tym unijna Dyrektywa jest wiążąca dla przedsiębiorstw?

Wdrożenie dyrektywy do prawa krajowego miało nastąpić do 17 października 2024 r. Polska nie dotrzymała tego terminu. W takim wypadku ze względów gwarancyjnych, przepisy Dyrektywy nie mogą mieć zastosowania wobec przedsiębiorstw w zakresie, w jakim nakładane są na nie obowiązki. 

Co to w praktyce oznacza?

Obowiązki wynikające z dyrektywy nie są co do zasady wiążące dla krajowych przedsiębiorstw do czasu przyjęcia przepisów krajowych. Należy jednak pamiętać, że do polskiego przedsiębiorcy, który funkcjonuje na innych rynkach europejskich może mieć zastosowanie również prawo innego państwa Unii Europejskiej, który już wdrożyłDyrektywę NIS 2.

Dlaczego przedsiębiorcy powinni już teraz wdrożyć odpowiednie rozwiązania (mechanizmy, procedury, procesy), aby spełnić wymogi NIS 2?

Z kilku powodów. 

Zamieniam się więc w słuch.

Po pierwsze, czas dostosowania się do wymogów może być długi – obejmuje zmiany organizacyjne i technologiczne związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji. Wymaga to opracowania i wprowadzenia procesów, które będą funkcjonować w całej organizacji. 

Należy zdefiniować polityki, procedury, role i odpowiedzialności, a także zapewnić odpowiednie zasoby – ludzkie, finansowe i techniczne. Konieczne jest przy tym dokumentowanie zgodności oraz prowadzenie stosownej dokumentacji, potwierdzającej m.in. wdrożenie niektórych procesów (np. określenie granic i możliwości zastosowania SZBI, wyniki szacowania ryzyka) lub posiadanie odpowiednich kompetencji (np. certyfikaty, odbyte szkolenia). 

Obecny projekt polskiej ustawy przewiduje 1-miesięczne vacatio legis oraz dodatkowy 6 miesięczny okres dostosowawczy. W wielu wypadkach ten okres może okazać się zbyt krótki, dlatego istotnym jest zainicjowanie procesu wdrożenia wcześniej. 

Po drugie, cyberzagrożenia istnieją i rosną niezależnie od legislacji. Brak odpowiedniego przygotowania może skutkować incydentem, który wywoła poważne straty finansowe oraz wizerunkowe. 

Po trzecie, zaufanie klientów i partnerów biznesowych zależy dziś od jakości zabezpieczeń danych i usług. Wysoki poziom cyberbezpieczeństwa to obecnie gwarancja wysokiego poziomu konkurencyjności organizacji. 

Wiele organizacji już teraz koncentruje się na podniesieniu poziomu cyberbezpieczeństwa i tego samego wymaga od swoich kontrahentów. Proces ten będzie się pogłębiać, ponieważ przepisy NIS 2 wymagają zapewnienia bezpieczeństwa łańcucha dostaw. 

Jak zatem przygotować firmę do NIS 2? Od czego należy zacząć?

Niezależnie od obecnego poziomu dojrzałości organizacji w kontekście cyberbezpieczeństwa, istotnym jest, aby wystrzec się nieprzemyślanych rozwiązań. Przyjmowane środki powinny być odpowiednie dla danego podmiotu, np. producenta żywności, i proporcjonalne do możliwości oraz realnych zagrożeń.

1. Aby przygotować firmę do spełnienia wymogów NIS 2 należy przede wszystkim wdrożyć system zarządzania bezpieczeństwem informacji. Jego wprowadzenie najlepiej zacząć od samoidentyfikacji – sprawdzenia czy organizacja będzie podlegała pod nowe przepisy. 
2. Kolejnym podstawowym krokiem jest zbadanie kontekstu organizacji (ustalenie jej charakterystyki, świadczonych usług, posiadanych systemów, otoczenia regulacyjnego, wymogów podmiotów trzecich) i przeglądu aktualnego poziomu zgodności (dokonanie analizy luk oraz oceny poziomu dojrzałości organizacji ze wskazaniem niezgodności i obszarów do doskonalenia, np. w drodze audytu). 
3. Na podstawie wykrytych luk i ustalonych obszarów wymagających doskonalenia należy zidentyfikować kamienie milowe wdrożenia. Będzie to punkt wyjścia do stworzenia planu i harmonogramu wdrożenia. 
4. Dopiero wówczas można przystąpić do analizy ryzyka, aktualizacji i tworzenia stosownych polityk, procedur, procesów czy aktualizacji postanowień umownych.

O czym muszą pamiętać przedsiębiorcy, jeśli chcą poprawnie stosować przepisy NIS 2?

O tym, że wdrożenie NIS 2 to nie jest jednorazowe działanie. To proces, który będzie wymagał trwałego samodoskonalenia. W proces tworzenia, utrzymania oraz doskonalenia systemu zarządzania bezpieczeństwem informacji powinno być zaangażowane najwyższe kierownictwo organizacji.

Zgodność z ustawą osiąga się nie tylko poprzez przyjęcie wewnętrznych rozwiązań wskazujących na sposób postępowania z ryzykiem. Konieczne będzie również skrupulatne dokumentowanie realizacji zaprojektowanych działań. 

A jakie koszty mogą wiązać się ze spełnieniem wymogów NIS 2?

Koszty zależą od wielkości firmy i obecnego poziomu zabezpieczeń. Niektóre szacunki wskazują, że dla całej Unii Europejskiej mogą wynieść nawet ponad 31,2 mld euro rocznie (źródło: raport Frontier Economics Ltd pt. „Assessing the economic impact of EU initiatives on cybersecurity”, 12 lipca 2023, str. 4 – przyp. red.). Obejmują m.in. wynagrodzenie personelu, w tym pomocniczego, zakup oprogramowania i instalację sprzętu niezbędnego do utworzenia oraz utrzymania dodatkowych ram i procesów cyberbezpieczeństwa, a także szkolenia dla pracowników czy outsourcing. 

Outsourcing - czy warto?

Nie każdą organizację stać na najdroższe rozwiązania. Są np. producenci żywności, dla których może to być ogromne wyzwanie z perspektywy budżetu.

Dlatego przyjmowane środki powinny być odpowiednie dla danej organizacji i proporcjonalne do możliwości oraz realnych zagrożeń. Dostosowanie się do wymogów nie zawsze musi oznaczać zakup kosztownych, zaawansowanych technologii czy budowy dużych zespołów wewnętrznych. 

Ustawa nie nakłada obowiązku zatrudniania specjalistów na etacie, lecz wymaga zapewnienia zgodności z przepisami…

I tu pojawia się pojęcie outsourcingu usług cyberbezpieczeństwa…

Dokładnie tak. Firma może np. zawrzeć umowę z zewnętrznym dostawcą usług bezpieczeństwa, który będzie odpowiadał za monitoring, reagowanie na kryzys czy wsparcie techniczne. 

Kluczowe jest, aby z wyprzedzeniem zaplanować, kto i w jaki sposób zareaguje w przypadku incydentu – to element zarządzania ryzykiem i kosztami. Outsourcing może być efektywnym rozwiązaniem, zwłaszcza dla MŚP, które nie dysponują własnymi zasobami kadrowymi.

Dziękuję za rozmowę.

Z myślą o poprawie cyberbezpieczeństwa polskich firm, Academy24 wspólnie z ekspertami CyberDefence24 przygotowało program szkoleń dla przedsiębiorców, który obejmuje m.in. tematykę wdrożenia przepisów NIS 2. Szczegóły znajdują się na stronie: Oferta Szkoleń Academy24.