”NIS 2 to istotna legislacyjna odpowiedź na wyraźnie obserwowany przez CSIRT NASK wzrost liczby incydentów w sieci, wynikający także ze wzmożonej aktywności cyberprzestępców w czasie pandemii” - zauważa Krzysztof Silicki, Zastępca Dyrektora NASK, Dyrektor ds. Cyberbezpieczeństwa i Innowacji.
16 grudnia 2020 Komisja Europejska przedstawiła nowy pakiet cyberbezpeczeństwa, którego częścią jest nowa Strategia Cyberbezpieczeństwa UE oraz projekt tzw. Dyrektyw NIS 2 (nowelizacja Dyrektywy NIS), a także nowa Dyrektywa na temat Ochrony Infrastruktury Krytycznej. Zmiany zaproponowane przez KE są bardzo ambitne. Przede wszystkim wyraźnie wydać zbliżenie kwestii bezpieczeństwa fizycznego i teleinformatycznego. NIS 2 rozszerza zakres podmiotowy dotychczasowej dyrektywy m.in. o administrację publiczną, sektor żywności, ścieki, produkcja wyrobów medycznych, komputerowych, elektronicznych i optycznych;, zarządzanie odpadami oraz przestrzeń kosmiczną a także szerzej traktuje niektóre sektory (m.in. rozszerzenie zakresu infrastruktury cyfrowej).
Na podmioty objęte Dyrektywą zostają nałożone większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. Propozycja zawiera także bardziej precyzyjne, niż Dyrektywa NIS, zapisy w zakresie raportowania incydentów. Nowością jest wprowadzenie odpowiedzialności dla kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie oraz wysokie kary finansowe za nieprzestrzeganie przepisów. Kary te mają wynosić maksymalnie co najmniej 10000000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa.
NIS 2 wprowadza także nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie Europejskiej sieci zarządzania kryzysowego w Cyberprzestrzeni (European Cyber crises liaison organization network, EU-CyCLONe), której zadaniem jest wspieranie koordynacji zarządzania incydentami na duża skalę na poziomie UE. Dodatkowo, wzmacnia rolę Grupy Współpracy w procesie wymiany informacji pomiędzy państwami, a także wprowadza koordynację w zakresie ujawniania podatności (vulnerability disclosure) na poziomie UE. NIS 2 wzmacnia także rolę ENISA, która od tej pory będzie odpowiedzialna za przygotowanie Sprawozdania o stanie cyberbezpieczeństwa w Unii. Nowe zapisy wpłyną na bezpieczeństwo funkcjonowania zarówno biznesu, jak i administracji i na poziomie UE oraz w poszczególnych krajach członkowskich. Ich implementacja w Polsce będzie się wiązała z dużym wysiłkiem finansowym i po stronie sektora prywatnego i publicznego. Z pewnością konieczne będzie implementacja do polskiego porządku prawnego (Ustawa o Krajowym Systemie Cyberbezpieczeństwa).
NIS 2 to istotna legislacyjna odpowiedź na wyraźnie obserwowany przez CSIRT NASK wzrost liczby incydentów w sieci, wynikający także ze wzmożonej aktywności cyberprzestępców w czasie pandemii. Wystarczy odnotować, że tylko do września zidentyfikowaliśmy o ponad 1000 incydentów więcej (7501) niż w całym 2019 roku (6484). Skalę zagrożeń widać także na prowadzonej przez nas Liście Ostrzeżeń przed fałszywymi domenami. Nasza strona ostrzegająca przed kradzieżą poufnych danych w internecie zadziałała już ponad 73 miliony razy. Łącznie, od początku stanu związanego z pandemią do końca 2020 roku wpisaliśmy na nią już 5 658 nazw, które w porozumieniu z dostawcami zostały zablokowane z poziomu DNS.