Polityka i prawo
Zmiany w regulacjach cyberbezpieczeństwa. Dyrektywa NIS2 coraz bliżej
Dyrektywa NIS2, która zaostrza przepisy dotyczące cyberbezpieczeństwa w krajach członkowskich Unii Europejskiej coraz bliżej. Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła porozumienie z Radą Europejską.
Dyrektywa cyberbezpieczeństwa NIS2 (Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii) zastąpi obecnie obowiązującą NIS (pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęte w 2016 roku).
W środę Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła porozumienie wynegocjowane z Radą Europejską przy 68 głosach „za”, 1 – „przeciw” i 3 – wstrzymujących się.
#Cybersecurity #NIS2 directive - ITRE confirms agreement with @EUCouncil as negotiated by @bgroothuis with 68 votes to 1, 3 abstentions
— ITRE Committee Press (@EP_Industry) July 13, 2022
Przypomnijmy, że w połowie maja br. Rada i Parlament Europejski porozumiały się w zakresie kształtu przepisów o wysokim wspólnym poziomie cyberbezpieczeństwa w całej UE. Celem zmian obecnie obowiązujących regulacji jest zwiększenie odporności i zdolności reagowania na incydenty cyberbezpieczeństwa sektorów publicznego i prywatnego, oraz ich lepsze współdziałanie.
Czytaj też
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 to jeden z ważniejszych aktów w zakresie cyberbezpieczeństwa. Ma na celu zmniejszenie podatności i zwiększenie odporności podmiotów świadczących usługi kluczowe (to od nich zależy prawidłowe funkcjonowanie rynku i możliwość korzystania obywateli z podstawowych usług) w systemie cyberbezpieczeństwa. Chodzi o to, by zwiększyć ochronę, umiejętność reagowania i odbudowy na wypadek cyberataków, sytuacji kryzysowych, ataków hybrydowych czy np. zagrożeń terrorystycznych.
To przede wszystkim wzmocnienie administracji publicznej na szczeblu centralnym i regionalnym, która często jest celem cyberataków. Chodzi też o lepszą współpracę i komunikację między jednostkami, odpowiedzialnymi w państwach za cyberbezpieczeństwo.
Nowelizacja NIS2 wprowadzi kryterium wielkości dla podmiotów, które będą uznawane za operatorów usług kluczowych – będą to wszystkie średnie lub duże podmioty z sektorów takich, jak m.in. energetyka, transport, zdrowie i infrastruktura cyfrowa.
Zakres regulacji rozszerzono m.in. o administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną. Podmioty objęte dyrektywą dzieli na niezbędne (np. z branży energetyki, bankowości, transportu czy zdrowia) i istotne (dostawcy cyfrowi, usługi pocztowe i kurierskie, zarządzanie odpadami).
Czytaj też
Jakie nowe obowiązki?
Podmioty, które zostaną objęte dyrektywą NIS2 będą miały szereg nowych obowiązków m.in. w zakresie zarządzania, obsługi incydentów, ujawniania luk bezpieczeństwa, testowania poziomu cyberbezpieczeństwa swoich systemów, efektywnego wykorzystania szyfrowania. Szerzej określono także zakres raportowania o incydentach, wprowadzono też odpowiedzialność kierownictwa firmy za „zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie”.
Nowelizacja przepisów ma również usunąć rozbieżności w poszczególnych państwach członkowskich w zakresie wymogów dotyczących zapewnienia cyberbezpieczeństwa m.in. w kwestii współpracy cyberorganów w każdym państwie.
Poza listą branż i podmiotów, które w związku z tym będą objęte obowiązkami raportowania incydentów, reagowania na nie i współpracy z odpowiednimi organami, przewidziano także środki zaradcze czy sankcje, by udawało się egzekwować przepisy.
NIS 2 rozszerza także wymagania określające zakres krajowych strategii cyberbezpieczeństwa (w Polsce to ustawa o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku, której projekt nowelizacji nadal nie został zatwierdzony przez Komitet Stały Rady Ministrów – red.).
Jak wskazuje CyberPolicy NASK w swoim opracowaniu - w polskich realiach oznacza to, że konieczne będzie opracowanie nowej strategii i zmiana sposobu zarządzania nią.
Co dalej?
Po tym, jak Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła NIS2, w październiku br. - po zatwierdzeniu na posiedzeniu plenarnym Parlamentu Europejskiego, potem przez Radę - dyrektywa wejdzie w życie w ciągu 20 dni od opublikowania w Dzienniku Urzędowym Unii Europejskiej.
Od momentu wejścia w życie dyrektywy NIS2, państwa członkowskie będą miały 21 miesięcy na zastosowanie jej zapisów do przepisów krajowych.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].