W obliczu coraz częstszych i coraz bardziej zaawansowanych ataków cybernetycznych Unia Europejska przyjęła 16 stycznia 2023 nową dyrektywę NIS2. Dyrektywa ta jest ważnym krokiem w kierunku wzmocnienia cyberbezpieczeństwa w Europie. Jej celem jest zminimalizowanie ryzyka ataków cybernetycznych i ochronę kluczowych infrastruktur przed zagrożeniami cyfrowymi, poprzez ustanowienie bardziej rygorystycznych wymagań i rozszerzenie zakresu regulacji. Co to konkretnie oznacza dla naszych danych i infrastruktury?
Czym jest Dyrektywa NIS2?
NIS2, czyli Druga Dyrektywa dotycząca Cyberbezpieczeństwa (Network and Information Security Directive 2), to aktualizacja wcześniejszej dyrektywy wprowadzonej w 2016 roku. Celem NIS2 jest zapewnienie minimalnych standardów bezpieczeństwa dla podmiotów działających w kluczowych sektorach gospodarki oraz osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, aby poprawić funkcjonowanie rynku wewnętrznego.
Dokładny tytuł dyrektywy brzmi:
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555
z dnia 14 grudnia 2022 r.
w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
Co reguluje dyrektywa NIS2?
Dyrektywa NIS2 precyzyjnie określa zarówno obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa, jak i kompetencje do powołania właściwych organów w państwie (m.in. ds. zarządzania kryzysowego w cyberbezpieczeństwie czy zespołu reagowania na incydenty bezpieczeństwa komputerowego). Określone zostały w niej środki zarządzania ryzykiem oraz jakie obowiązki pojawiają się w momencie incydentu.
Zgodnie z przepisami aktu to na państwach członkowskich ciąży obowiązek wymiany informacji o cyberbezpieczeństwie oraz nadzorowaniu i egzekwowaniu przepisów niniejszej dyrektywy.
Kogo dotyczy dyrektywa NIS2?
Dyrektywa NIS2 ma zastosowanie zarówno do podmiotów sektora publicznego jak i prywatnego. Jednak w NIS 2 rozszerzono zakres podmiotów objętych regulacją w porównaniu do zastępowanej dyrektywy NIS. Dotyczy to m.in. firm oferujących infrastrukturę krytyczną (jednak dopiero po spełnieniu przesłanki wskazującej, że jest to podmiot szczególnie istotny ze względu na jego znaczenie na poziomie krajowym bądź regionalnym) czy podmiotów świadczących usługi rejestracji nazw domen.
Dodatkowo pojawiła się kategoria podmiotów ważnych oraz podmiotów kluczowych. Wymienione one zostają w załącznikach I i II niniejszej dyrektywy.
Do podmiotów ważnych zalicza się m.in.:
- przemysł chemiczny,
- produkcje,
- przemysł spożywczy,
- sektor badawczy,
- usługi pocztowe i kurierskie
Podmioty kluczowe obejmują w szczególności:
- kwalifikowanych dostawców usług zaufania i rejestry nazw domen najwyższego poziomu
- dostawców usług DNS (Domain Name System)
- sektor energetyczny,
- usługi transportowe,
- zdrowie,
- dostawców usług finansowych,
- dostawców cyfrowych i łączności,
- dostawców usług wodnych.
Zgodnie z artykułem 2 pkt 5 Dyrektywy NIS2 to w zakresie kompetencji państw członkowskich jest ustalenie, czy rozszerzony będzie zakres stosowania dyrektywy na podmioty administracji publicznej (na poziomie lokalnym) oraz na instytucje edukacyjne (zwłaszcza te, które prowadzą działalność badawczą o krytycznym znaczeniu).
Co grozi za nieprzestrzeganie Dyrektywy NIS2?
Dyrektywa NIS2 wprowadza surowsze kary za naruszenia cyberbezpieczeństwa niż te obowiązujące dotychczas. Na podmioty, które nie spełniają wymogów NIS2, mogą być nałożone sankcje administracyjne – w szczególności wysokie kary finansowe. Organ decydujący o wysokości kary musi pamiętać, aby była ona skuteczna, proporcjonalna, odstraszająca oraz stosowana do okoliczności każdego indywidualnego przypadku.
Co ważne, dyrektywa nie wskazuje sztywnych wytycznych dotyczących sankcji – pozostawia to w zakresie regulacji krajowych każdego państwa członkowskiego. Mogą one zatem się różnić w zależności od kraju, a organy mają pewnego rodzaju elastyczność w ich stosowaniu.
Jednak głównym celem dyrektywy nie jest nakładanie kar, a zminimalizowanie ryzyka ataków cybernetycznych i ochronę kluczowych infrastruktur przed zagrożeniami cyfrowymi. Kary te stanowi dodatkową zachętę do inwestowania w cyberbezpieczeństwo.
Kiedy Dyrektywa NIS2 wchodzi w życie?
Dyrektywa NIS2 została przyjęta 16 stycznia 2023 roku, jednak państwa członkowskie na jej wdrożenie mają aż 21 miesięcy. Wynika z tego, że nowe przepisy powinny być stosowane we wszystkich państwach Unii Europejskiej do 18 października 2024 roku.
W Polsce proces wdrożenia dyrektywy dopiero się zaczyna. 10 kwietnia 2024 roku w wykazie prac legislacyjnych Kancelarii Prezesa Rady Ministrów pojawił się projekt ustawy o zmianie dotychczas obowiązującej ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Obecnie projekt zmiany ustawy jest na etapie opiniowania, a do jego przyjęcia czeka nas jeszcze kilka kroków. Planowym terminem wdrożenia Dyrektywy NIS 2 w Polsce jest III kwartał 2024 roku.
Podsumowanie
Dyrektywa NIS 2 ma na celu zwiększenie bezpieczeństwa w sieci. Nakłada ona bardziej restrykcyjne wymagania dotyczące ochrony danych i infrastruktury cyfrowej niż wcześniejszy akt. Dzięki tej dyrektywie firmy będą musiały lepiej oraz sprawniej zabezpieczać swoje systemy przed atakami cybernetycznymi. Pomimo tego, że wiele kwestii jest jeszcze niejasnych i wymaga uregulowanie na szczeblach krajowym państw członkowskich, to niewątpliwie jest to przełom w zapewnieniu cyberbezpieczeństwa oraz budowaniu bezpiecznego internetowego środowiska w Unii Europejskiej.
Pomożemy Ci przygotować się do wdrożenia NIS2 w Twojej organizacji
Gdańska kancelaria armińska radcowie prawni oferuje kompleksowe wsparcie, które pomoże Twojej firmie dostosować się do nowych wymogów prawnych w obszarze cyberbezpieczeństwa.
- Przeszkolimy Twój zespół z dyrektywy NIS2. Skontaktuj się z naszą kancelarią.
- szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat NIS2 i najlepszych metod zarządzania ryzykiem cyfrowym,
- dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
- pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań NIS2, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.
- prawną obsługę spółek – korporacyjną, w zakresie zatrudnienia, własności intelektualnej i danych osobowych
Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.
.
