Co zmieni Dyrektywa NIS2? „Nowy poziom cyberbezpieczeństwa w Unii Europejskiej”

Zdaniem eksperta, dyrektywa NIS2 to kolejny krok w budowie wyższego poziomu cyberbezpieczeństwa w państwach Unii Europejskiej. Ma ona także usprawnić współpracę pomiędzy nimi w zakresie ochrony kluczowych i ważnych podmiotów przed skutkami cyberataków.

NIS2 jest rozszerzoną wersją dyrektywy NIS (o bezpieczeństwie sieci i informacji) z 2016 roku, a wprowadzone zmiany dotyczą harmonizacji wymagań cyberbezpieczeństwa i wprowadzenia minimalnych standardów oraz działań w zakresie cyberhigieny.

Równolegle do sieci CSIRT Network – dotyczącej współpracy technicznej pomiędzy krajowymi zespołami reagowania na incydenty cyberbezpieczeństwa – powstanie formalna sieć współpracy strategicznej podczas kryzysów cyberbezpieczeństwa (EU-CyCLONe).

Podobnie jak w przypadku przepisów dotyczących sankcji za naruszenia w ochronie danych osobowych, NIS2 uwzględnia także kary finansowe za niedopełnienie obowiązków w zakresie zarządzania ryzykiem i raportowania incydentów przez podmioty kluczowe. Wspomniane kary będą bardzo dotkliwe – mogą wynieść do 10 milionów euro lub 2 proc. całkowitego światowego rocznego obrotu danego przedsiębiorstwa. 

Wdrożenie dyrektywy w interesie firm komercyjnych?

Czy wdrożenie dyrektywy będzie miało realny wpływ na wzrost cyberbezpieczeństwa firm komercyjnych? Według Roberta Kośli dużo będzie zależało od dojrzałości personelu (zarządzającego i technicznego) podmiotów podlegających regulacji.

„Żadna regulacja nie jest w stanie dokonać istotnych zmian, jeśli nie dostosują się do nich podmioty podlegające takiej regulacji (...) Jeśli chodzi o sektor komercyjny to zainteresowanie podnoszeniem standardów w zakresie cyberbezpieczeństwa leży w interesie tych podmiotów" – powiedział w rozmowie z CyberDefence24.pl.

Dodał przy tym, że „straty powodowane przez cyberataki w wielu przypadkach mają katastrofalny skutek dla dotkniętych nimi podmiotów".

NIS2 a Krajowy System Cyberbezpieczeństwa

W rozmowie o NIS2 ważny jest aspekt wpływu dyrektywy na budowę Krajowego Systemu Cyberbezpieczeństwa (KSC) w Polsce. Czy NIS2 wymusi zasadnicze zmiany w projekcie (wciąż nowelizowanej) ustawy o KSC, a może będą to raczej niewielkie modyfikacje i uzupełnienia?

Zdaniem Roberta Kośli bliższa prawdy jest ta druga teza. „W kontekście KSC dyrektywa jest podstawowym szkieletem wspólnie uzgodnionym przez państwa członkowskie. Na jej bazie państwa mogą proponować dalej idące rozwiązania, które podniosą odporność na cyberataki w systemach krajowych" – stwierdził nasz rozmówca.  

„Dyrektywa NIS2 w dużej części uwzględnia 14 zasadniczych obszarów uwag, które jako Polska zgłosiliśmy do Komisji Europejskiej w marcu 2020 roku. (...) Propozycje zmian wynikały z naszych doświadczeń w budowie Krajowego Systemu Cyberbezpieczeństwa i zostały przez nas uwzględnione w projekcie nowelizacji ustawy o KSC, przygotowanym jesienią 2020 roku i zmodyfikowanym w pierwszej połowie 2021 roku. To Polska zaproponowała m.in. uwzględnienie w NIS2 podmiotów publicznych oraz rozszerzenie sektorów kluczowych - w tym o przedsiębiorców komunikacji elektronicznej" – dodał.

Jak wskazuje ekspert, państwa unijne będą miały 21 miesięcy na transpozycję przepisów dyrektywy do prawa krajowego. Zmiany - w pełni harmonizujące nasze przepisy z dyrektywą NIS2 - mogą zostać wprowadzone do projektu nowelizacji ustawy o KSC, która od połowy 2021 roku znajduje się na etapie Stałego Komitetu Rady Ministrów i oczekuje na pozytywną opinię Komitetu Rady Ministrów do sprawy Bezpieczeństwa Narodowego i spraw Obronnych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

/MG