Dynamiczny rozwój technologii i cyfryzacja niosą za sobą szanse, ale i zagrożenia. Potencjalne awarie systemów informatycznych wspomagających współczesną gospodarkę np. usługi finansowe czy opiekę zdrowotną mogą powodować wielkie straty finansowe, a nawet prowadzić do zagrożenia zdrowia i życia. Coraz większa częstotliwość takich zjawisk wymusiła wprowadzenie nowych, skuteczniejszych regulacji prawnych. Dyrektywa NIS 2 z 15 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii zastąpi obecną dyrektywę NIS o bezpieczeństwie sieci i systemów informatycznych.
NIS 2 definiuje dwa rodzaje podmiotów objętych nowymi regulacjami – podmioty kluczowe i ważne. Działają one w następujących sektorach gospodarki:
– publiczni dostawcy sieci łączności i świadczący usługi łączności elektronicznej,
– podmioty administracji publicznej,
– usług cyfrowych świadczonych przez platformy sieci społecznościowych,
– centra danych,
– przestrzeń kosmiczna,
– energetyka,
– transport,
– bankowość,
– infrastruktura rynków finansowych,
– opieka zdrowotna,
– dostarczanie wody pitnej,
– ścieki,
– infrastruktura cyfrowa,
– zarządzanie usługami ICT (między przedsiębiorstwami), np.: dostawcy usług zarządzanych,
– producenci produktów uznanych za krytyczne, np. leków, urządzeń medycznych, urządzeń elektrycznych,
– usługi pocztowe i kurierskie,
– gospodarka odpadami,
– produkcja i dystrybucja żywności,
– dostawcy usług cyfrowych, np. internetowych platform handlowych.
Do grupy kluczowych zaliczają się podmioty działające w powyższych obszarach, w których zatrudnienie przekracza 250 pracowników, a roczny obrót wynosi powyżej 10 mln euro. Pozostałe podmioty, niespełniające kryterium wielkości, kwalifikowane są jako podmioty ważne.
– Dyrektywa NIS 2 nakłada na podmioty kluczowe i ważne obowiązek wprowadzenia odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowanie takiego wpływu. Środki te mają być określane w oparciu o podejście uwzględniające wszystkie zagrożenia. W ramach działań należy uwzględnić m.in. prowadzenie analizy ryzyka, bieżącą obsługę incydentów, opracowanie planu ciągłości działania, stworzenie polityk i procedur w zakresie przeprowadzania audytów zabezpieczeń, a także korzystanie z kryptografii i szyfrowania – wyjaśnia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa DEKRA.
Państwa członkowskie UE zobowiązane są ustanowić szczegółowy wykaz podmiotów kluczowych i ważnych do 27 kwietnia 2025 roku.
W trosce o standardy cyberbezpieczeństwa
Artykuł 25 dyrektywy NIS 2 zachęca także podmioty działające na rynku do stosowania europejskich i międzynarodowych norm istotnych z punktu widzenia cyberbezpieczeństwa m.in. normy ISO/IEC 27000, a w szczególności ISO/IEC 27001:2022.
– Dotyczą one m.in. budowania systemów bezpieczeństwa informacji uwzględniających specyfikę działalności i charakterystykę potencjalnych zagrożeń. Systemy te powinny być certyfikowane pod kątem zgodności z międzynarodowymi standardami. Wśród środków nadzoru i egzekwowania stosowania przepisów przez podmioty kluczowe wskazano dodatkowo uprawnienie podmiotów nadzorujących do wnioskowania o przedstawienie audytu z realizacji praktyk cyberbezpieczeństwa, przeprowadzonego przez wykwalifikowanego audytora – dodaje ekspert DEKRA.
Właściwe organy państw członkowskich mają możliwość nałożenia na podmioty kluczowe i ważne administracyjnych kar pieniężnych w razie naruszenia przepisów. Ich wysokość powinna być proporcjonalna do skali wykroczenia, ale nie większa niż 2% rocznego obrotu lub 10 mln euro. Nowe przepisy wynikające z dyrektywy NIS 2 zaczną obowiązywać w UE od 18 października 2024 roku.
tekst i zdjęcia: Karolina Kędziora Biuro Prasowe DEKRA
opracowanie: Gwalbert Krzewicki
