• admin@kibc
• 30 listopada 2022
• Brak komentarzy

Stało się to, o czym w Unii Europejskiej mówiono już od wielu miesięcy. Z opóźnieniem, choć niewielkim, 26 listopada br. rada UE przyjęła nowe przepisy w zakresie wspólnego poziomu cyberbezpieczeństwa UE. Nowa dyrektywa pod nazwą “NIS2” zastąpi tym samym obecną dyrektywę “NIS”. Państwa członkowskie będą miały 21 miesięcy od wejścia w życie dyrektywy na włączenie jej przepisów do prawa krajowego.

Przegłosowanie “NIS2” zapewne opóźni wprowadzenie w Polsce znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa i wymusi ponowne przyjrzenie się tematowi. Ustawa o KSC już wcześniej budziła sporo kontrowersji ze względu na brak wprowadzenia do niej zmian postulowanych w konsultacjach społecznych oraz grono ekspertów. Teraz, w obliczu ryzyka wprowadzenia podwójnych standardów, zapewne ten proces jeszcze bardziej skomplikuje i odwlecze w czasie.

Celem wprowadzenia NIS 2 jest jeszcze mocniejsze podniesienie poziomu cyberbezpieczeństwa i zdolności reagowania na różnego rodzaju incydenty zarówno w sektorze publicznym, jak i prywatnym.

Najistotniejsza różnica pomiędzy NIS, a NIS 2 tak naprawdę sprowadza się do rozszerzenia zakresu podmiotów zobowiązanych i ich podziału na podmioty kluczowe oraz istotne. To nowy podział, który zastąpił dotychczasowy – na dostawców usług cyfrowych i operatorów usług kluczowych.
Jako podmioty kluczowe z perspektywy zapewnienia cyberbezpieczeństwa, oprócz podmiotów z sektora energetycznego, transportowego, bankowego, finansowego, czy zdrowotnego, uznano m.in.:
dostawców usług przetwarzania w chmurze obliczeniowej (cloud computing service providers) – należących wcześniej do „niższej” kategorii dostawców usług cyfrowych:
dostawców usług centrów danych (data centre service providers) – nowej kategorii usług, obejmującej w szczególności usługi scentralizowanego przechowywania, przetwarzania i transportu danych łącznie z zapewnieniem wszelkich niezbędnych do tego celu narzędzi (np. obiektów i infrastruktury) oraz środków (np. dostaw energii); dostawców usług CDN (content delivery network providers) – nowej kategorii usług, polegających na udostępnianiu sieci serwerów w celu zapewnienia możliwości dalszego udostępniania użytkownikom treści internetowych;
dostawców usług zaufania;
dostawców publicznych sieci łączności elektronicznej oraz usług łączności elektronicznej;
jednostek centralnej administracji rządowej.
Widać zatem wyraźne rozszerzenie zakresu podmiotów kluczowych w porównaniu do katalogu operatorów usług kluczowych wg jeszcze obowiązującej dyrektywy NIS.

Z definicji NIS 2 podmioty istotne, to m.in. dostawcy wyszukiwarek internetowych, dostawcy platform handlowych, dostawcy serwisów społecznościowych i dostawcy usług kurierskich – dwa ostatnie to nowa grupa, wcześniej nie objęta dyrektywą. Poza tym kategoria podmiotów istotnych obejmuje m.in. podmioty zarządzania odpadami, produkcji i dystrybucji chemikaliów, czy produkcji i dystrybucji żywności.

Wskazane podmioty będą miały za zadanie przygotować i wdrożyć stosowne procedury w zakresie cyberbezpieczeństwa i zgłaszania naruszeń, incydentów i cyberzagrożeń.
Nowa dyrektywa nie pozostawia ustawodawcom krajowym możliwości decydowania, które podmioty uznać za kluczowe, a które za istotne. Podział ten jest narzucony z góry i opisany w załącznikach do dyrektywy.

NIS2 to także bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania prawa. Odpowiedzialność za zapewnienie cyberbezpieczeństwa będzie także spoczywać na osobach, które zarządzają podmiotami zobowiązanymi przez dyrektywę.

Na mocy nowej dyrektywy powstanie europejska sieć organizacji łącznikowych ds. cyber kryzysów (EU-CyCLONE), która będzie wspierać skoordynowane zarządzanie incydentami i kryzysami cybernetycznymi na dużą skalę. Nowe przepisy upraszczają również obowiązki sprawozdawcze, aby uniknąć nadmiernej liczby zgłoszeń i tworzenia nadmiernych obciążeń dla objętych nimi podmiotów.

Co dalej? Teraz Dyrektywa zostanie opublikowana w Dzienniku Urzędowym Unii Europejskiej i wejdzie w życie dwudziestego dnia po tej publikacji. Państwa członkowskie będą miały 21 miesięcy od wejścia w życie dyrektywy na włączenie przepisów do prawa krajowego.

Szczegółowy wykaz podmiotów objętych dyrektywą znajdą Państwo w załączonym dokumencie – od strony. 139.