Zmiany w regulacjach cyberbezpieczeństwa. Dyrektywa NIS2 coraz bliżej

Dyrektywa cyberbezpieczeństwa NIS2 (Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii) zastąpi obecnie obowiązującą NIS (pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęte w 2016 roku).

W środę Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła porozumienie wynegocjowane z Radą Europejską przy 68 głosach „za”, 1 – „przeciw” i 3 – wstrzymujących się.

Przypomnijmy, że w połowie maja br. Rada i Parlament Europejski porozumiały się w zakresie kształtu przepisów o wysokim wspólnym poziomie cyberbezpieczeństwa w całej UE. Celem zmian obecnie obowiązujących regulacji jest zwiększenie odporności i zdolności reagowania na incydenty cyberbezpieczeństwa sektorów publicznego i prywatnego, oraz ich lepsze współdziałanie.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 to jeden z ważniejszych aktów w zakresie cyberbezpieczeństwa. Ma na celu zmniejszenie podatności i zwiększenie odporności podmiotów świadczących usługi kluczowe (to od nich zależy prawidłowe funkcjonowanie rynku i możliwość korzystania obywateli z podstawowych usług) w systemie cyberbezpieczeństwa. Chodzi o to, by zwiększyć ochronę, umiejętność reagowania i odbudowy na wypadek cyberataków, sytuacji kryzysowych, ataków hybrydowych czy np. zagrożeń terrorystycznych.

To przede wszystkim wzmocnienie administracji publicznej na szczeblu centralnym i regionalnym, która często jest celem cyberataków. Chodzi też o lepszą współpracę i komunikację między jednostkami, odpowiedzialnymi w państwach za cyberbezpieczeństwo.

Nowelizacja NIS2 wprowadzi kryterium wielkości dla podmiotów, które będą uznawane za operatorów usług kluczowych – będą to wszystkie średnie lub duże podmioty z sektorów takich, jak m.in. energetyka, transport, zdrowie i infrastruktura cyfrowa.

Zakres regulacji rozszerzono m.in. o administrację publiczną, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczną. Podmioty objęte dyrektywą dzieli na niezbędne (np. z branży energetyki, bankowości, transportu czy zdrowia) i istotne (dostawcy cyfrowi, usługi pocztowe i kurierskie, zarządzanie odpadami).

Jakie nowe obowiązki?

Podmioty, które zostaną objęte dyrektywą NIS2 będą miały szereg nowych obowiązków m.in. w zakresie zarządzania, obsługi incydentów, ujawniania luk bezpieczeństwa, testowania poziomu cyberbezpieczeństwa swoich systemów, efektywnego wykorzystania szyfrowania. Szerzej określono także zakres raportowania o incydentach, wprowadzono też odpowiedzialność kierownictwa firmy za „zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie”.

Nowelizacja przepisów ma również usunąć rozbieżności w poszczególnych państwach członkowskich w zakresie wymogów dotyczących zapewnienia cyberbezpieczeństwa m.in. w kwestii współpracy cyberorganów w każdym państwie.

Poza listą branż i podmiotów, które w związku z tym będą objęte obowiązkami raportowania incydentów, reagowania na nie i współpracy z odpowiednimi organami, przewidziano także środki zaradcze czy sankcje, by udawało się egzekwować przepisy.

NIS 2 rozszerza także wymagania określające zakres krajowych strategii cyberbezpieczeństwa (w Polsce to ustawa o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku, której projekt nowelizacji nadal nie został zatwierdzony przez Komitet Stały Rady Ministrów – red.).

Jak wskazuje CyberPolicy NASK w swoim opracowaniu - w polskich realiach oznacza to, że konieczne będzie opracowanie nowej strategii i zmiana sposobu zarządzania nią.

Co dalej?

Po tym, jak Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła NIS2, w październiku br. - po zatwierdzeniu na posiedzeniu plenarnym Parlamentu Europejskiego, potem przez Radę - dyrektywa wejdzie w życie w ciągu 20 dni od opublikowania w Dzienniku Urzędowym Unii Europejskiej.

Od momentu wejścia w życie dyrektywy NIS2, państwa członkowskie będą miały 21 miesięcy na zastosowanie jej zapisów do przepisów krajowych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].