W kwietniu 2024 r. Ministerstwo Cyfryzacji opublikowało projekt nowelizacji obowiązującej obecnie ustawy o krajowym systemie cyberbezpieczeństwa („Nowe KSC”). Nowelizacja ta ma wdrożyć do polskiego porządku prawnego unijną dyrektywę NIS-2.
Implementacja NIS2: Na początek kilka słów przypomnienia
NIS-2 przewiduje, że jej postanowienia stosuje się do dwóch kategorii podmiotów – podmiotów kluczowych oraz podmiotów ważnych i taką też nomenklaturę przyjęto w Nowym KSC.
Ze wspomnianych załączników do Nowego KSC wynika, że chodzi tutaj o podmioty z sektorów wrażliwych z punktu widzenia interesu publicznego, takich jak m.in. energetyka, transport, bankowość i rynki finansowe, ochrona zdrowia, administracja publiczna, infrastruktura cyfrowa i zarządzanie usługami ICT czy produkcja niektórych rodzajów towarów.
Warto pamiętać, że zakres sektorowy NIS-2 (a tym samym i Nowego KSC) będzie szerszy niż w przypadku dotychczasowych przepisów.
Zakres obowiązywania dyrektywy NIS2
Dyrektywa NIS2 znacząco rozszerza zakres podmiotowy i sektorowy w porównaniu do wcześniejszych regulacji. Obejmuje nie tylko tradycyjne sektory infrastruktury krytycznej, ale także nowe obszary, które mają kluczowe znaczenie dla bezpieczeństwa sieci i systemów informatycznych w całej Unii Europejskiej. Podmioty kluczowe oraz podmioty ważne, działające w sektorach takich jak energetyka, bankowość, opieka zdrowotna, transport czy administracja publiczna, muszą dostosować się do nowych wymogów. Dyrektywa NIS2 nakłada na nie obowiązek wdrożenia kompleksowych środków zarządzania ryzykiem w cyberbezpieczeństwie, obejmujących zarówno aspekty techniczne, jak i organizacyjne. Szczególny nacisk położono na bezpieczeństwo sieci oraz systemów informatycznych, a także na konieczność zgłaszania poważnych incydentów cyberbezpieczeństwa odpowiednim organom nadzorczym. W związku z tym podmioty kluczowe i ważne są zobowiązane do stałego monitorowania i podnoszenia poziomu ochrony przed zagrożeniami cyfrowymi.
Cele i korzyści wdrożenia dyrektywy NIS2
Wprowadzenie dyrektywy NIS2 ma na celu przede wszystkim podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Nowe przepisy mają chronić kluczowe usługi i infrastrukturę przed coraz bardziej zaawansowanymi zagrożeniami cyfrowymi. Dzięki wdrożeniu jednolitych standardów w zakresie cyberbezpieczeństwa, państwa członkowskie mogą skuteczniej współpracować w reagowaniu na incydenty i minimalizowaniu ich skutków. Dyrektywa NIS2 przyczynia się do zwiększenia ochrony danych oraz systemów informatycznych, a także do poprawy ciągłości działania organizacji. W praktyce oznacza to większą odporność na cyberataki, lepsze przygotowanie na sytuacje kryzysowe oraz wyższy poziom zaufania odbiorców usług. Dla podmiotów kluczowych i ważnych wdrożenie dyrektywy to także szansa na uporządkowanie procesów zarządzania ryzykiem i wzmocnienie pozycji na rynku dzięki spełnieniu wysokich wymagań w zakresie cyberbezpieczeństwa.
Obowiązek zgłoszeniowy w krajowym systemie cyberbezpieczeństwa
W przeciwieństwie do obowiązujących obecnie regulacji, gdzie uznanie za operatora usługi kluczowej następowało w drodze decyzji administracyjnej, na którą można było oczekiwać, Nowe KSC wymaga na start proaktywności po stronie podmiotów zobowiązanych.
Bardzo ważne jest więc, aby przedsiębiorcy samodzielnie i zawczasu przeprowadzili weryfikację, czy spełniają kryteria do uznania ich za podmioty kluczowe lub ważne.
Obowiązki podmiotów kluczowych i ważnych (podmioty kluczowe)
Podmioty kluczowe i ważne zobowiązane są do wdrożenia systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez te podmioty. Ma on zapewnić odpowiednie zarządzanie ryzykiem i wdrożenie niezbędnych w tym celu środków. Obszary, jakie powinien zaadresować ten system, zostały wymienione w Nowym KSC. Co istotne, przewidziano, że można oprzeć się na popularnych normach ISO dot. systemu bezpieczeństwa informacji i zarządzania ciągłością działania (ISO 27001, ISO 22301), aby wykazać zgodność. Oczywiście, należy sporządzić odpowiednią dokumentację w tym zakresie, a także zapewnić dowody jej przestrzegania w postaci np. logów (tzw. część operacyjna dokumentacji). Należy także zapewnić, co najmniej raz na 2 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług.
Podmioty kluczowe i ważne zobowiązane są zapewnić odpowiednią obsługę incydentów, w tym ich odpowiednią klasyfikację oraz informowanie właściwego CSIRT sektorowego o incydentach uznanych za poważne (zgłoszenie wczesnego ostrzeżenia nie później niż w ciągu 24 godzin od wykrycia incydentu, zgłoszenie w terminie 72 godzin, a następnie przekazanie sprawozdań okresowych i sprawozdania końcowego z obsługi incydentu).
Ponadto, w przypadku zaistnienia znaczącego cyberzagrożenia konieczne jest poinformowanie użytkowników usług zapewnianych przez podmiot kluczowy lub ważny.
Audyt bezpieczeństwa w kontekście dyrektywy NIS2
Regularny audyt bezpieczeństwa stanowi jeden z filarów skutecznego wdrożenia dyrektywy NIS2 przez podmioty kluczowe i ważne. Przeprowadzanie audytów pozwala na rzetelną ocenę poziomu zabezpieczeń systemów informatycznych oraz identyfikację potencjalnych słabości i luk w ochronie. Zgodnie z wymaganiami dyrektywy NIS2, audyt bezpieczeństwa powinien być realizowany przez niezależnych specjalistów posiadających odpowiednie kwalifikacje w zakresie cyberbezpieczeństwa. Wyniki audytu muszą być szczegółowo dokumentowane i przechowywane, a w razie potrzeby udostępniane właściwym organom nadzorczym. Dzięki audytom podmioty kluczowe i ważne mogą skutecznie wdrażać środki zarządzania ryzykiem w cyberbezpieczeństwie, dostosowywać swoje procedury do zmieniających się zagrożeń oraz zapewniać zgodność z przepisami dyrektywy NIS2. Regularna weryfikacja zabezpieczeń to nie tylko wymóg prawny, ale przede wszystkim praktyczne narzędzie podnoszenia poziomu bezpieczeństwa i ochrony przed incydentami.
Audyt bezpieczeństwa musi być przeprowadzony co najmniej raz na 2 lata przez niezależnego audytora posiadającego odpowiednie kwalifikacje. Warto jednak podkreślić, że podmioty kluczowe i ważne mogą przeprowadzić audyt we własnym zakresie, jeśli dysponują odpowiednimi zasobami i kompetencjami wewnętrznymi. W takim przypadku audyt może być realizowany przez własny personel, pod warunkiem zachowania niezależności organizacyjnej zespołu audytowego od audytowanych procesów. Kluczowe jest również przestrzeganie terminów: pierwszy audyt musi zostać przeprowadzony w ciągu 12 miesięcy od dnia spełnienia przesłanek do uznania za podmiot kluczowy lub ważny, a następne audyty – regularnie co 2 lata.
Zarządzanie ryzykiem jako fundament systemu cyberbezpieczeństwa
Kluczowym elementem systemu zarządzania bezpieczeństwem informacji zgodnego z NIS2 jest kompleksowe zarządzanie ryzykiem w cyberbezpieczeństwie. Podmioty kluczowe i ważne zobowiązane są do regularnego przeprowadzania ocen ryzyka, które powinny obejmować identyfikację zasobów informatycznych, analizę zagrożeń oraz ocenę potencjalnych skutków incydentów. Sporządzenie i aktualizowanie macierzy ryzyka stanowi praktyczne narzędzie dokumentujące zidentyfikowane ryzyka wraz z ich oceną prawdopodobieństwa i wpływu na działalność organizacji. Na podstawie wyników analizy ryzyka podmioty muszą wdrożyć proporcjonalne środki techniczne i organizacyjne, takie jak: systemy wykrywania i zapobiegania włamaniom, procedury tworzenia kopii zapasowych, plany ciągłości działania, kontrole dostępu czy programy świadomości cyberbezpieczeństwa dla pracowników. Środki te powinny być dostosowane do poziomu ryzyka i specyfiki działalności organizacji, a ich skuteczność powinna być regularnie oceniana i udoskonalana.
Inne istotne aspekty i obowiązki nakładane przez NIS2
Kary i sankcje:
- Kary finansowe mogą wynosić do 10 mln euro lub 2% rocznego obrotu dla podmiotów kluczowych
- Osobista odpowiedzialność członków kierownictwa za naruszenie obowiązków
- Możliwość czasowego zakazu pełnienia funkcji kierowniczych
- Cofnięcie koncesji dla podmiotu
Współpraca lokalna i międzynarodowa:
- Obowiązek współpracy z krajowymi CSIRT-ami
- Udział w mechanizmach wczesnego ostrzegania na poziomie UE
- Wymiana informacji o zagrożeniach i incydentach
Łańcuch dostaw:
- Zarządzanie ryzykiem dostawców i podwykonawców
- Ocena bezpieczeństwa usług outsourcowanych
- Monitorowanie zależności od kluczowych dostawców technologii
Harmonogram wdrożenia w Polsce:
- Uchwalenie ustawy implementującej NIS2 planowane na Q2 2025
- Termin na zgłoszenie się podmiotów do rejestru: 6 miesięcy od wejścia w życie ustawy
- Pełne wdrożenie systemu do końca 2025 roku
Podsumowanie w zakresie cyberbezpieczeństwa
Odpowiedzialność w zakresie cyberbezpieczeństwa spoczywać ma finalnie na kierownikach podmiotów kluczowych i ważnych (w przypadku spółek kapitałowych będą to członkowie zarządu) i to nawet wówczas, jeśli obowiązki w tym zakresie zostały delegowane na inne osoby. Kierownicy powinni przechodzić odpowiednie szkolenia w zakresie cyber raz do roku.
Obowiązki właściwe dla podmiotów kluczowych i ważnych, o których mowa powyżej, powinny być zrealizowane przez przedsiębiorcę w terminie 6 miesięcy od dnia spełnienia przesłanek do uznania za podmiot kluczowy lub ważny, z zastrzeżeniem, że na wykonanie pierwszego audytu systemu informatycznego przewidziano 12 miesięcy. Za brak realizacji obowiązków wynikających z Nowego KSC przewidziano kary pieniężne zarówno dla podmiotów kluczowych i ważnych, jak i dla ich kierowników.
Artykuł we współpracy z
