8 lipca 2021

Dyrektywa NIS 2: jakie zmiany wprowadzi dla cyberbezpieczeństwa na rynku wewnętrznym UE?

Udostępnij

Na przestrzeni ostatnich lat coraz silniej można odczuć przyspieszający rozwój cyfryzacji, która jest obecnie jednym z podstawowych narzędzi niezbędnych do funkcjonowania i rozwoju przedsiębiorstw. Z uwagi na coraz większą przystępność cyfryzacji (zarówno w aspekcie organizacyjnym, jak i finansowym), korzystanie z narzędzi informatycznych w celu optymalizacji procesów biznesowych nie jest już domeną dużych przedsiębiorstw z zapleczem finansowym i technologicznym, lecz stało się powszechne również w sektorze mikro- i małych przedsiębiorców. Wraz ze wzrostem zainteresowania usługami cyfrowymi wśród przedsiębiorców i konsumentów, coraz więcej podmiotów decyduje się świadczyć tego rodzaju usługi, starając się sprostać oczekiwaniom i potrzebom rynku. Taki stan rzeczy, poza oczywistymi korzyściami wynikającymi z cyfryzacji gospodarki, rodzi również pewne zagrożenia – są one związane przede wszystkim z konsekwencjami awarii czy niedostępności kluczowych usług informatycznych, stanowiących podstawę funkcjonowania przedsiębiorstw, jak również z coraz częściej zdarzającymi się wyciekami danych osobowych czy informacji poufnych, czy też działaniami grup przestępczych wyspecjalizowanych w cyberprzestępczości, w tym coraz popularniejszymi atakami typu ransomware.

Motywy opracowania projektu dyrektywy NIS 2

Dostrzegając te zagrożenia, Unia Europejska w 2016 r. doprowadziła do uchwalenia dyrektywy NIS[1], która zobowiązywała państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych. W motywach wprowadzenia tej dyrektywy dostrzeżono zasadnicze znaczenie niezawodności i bezpieczeństwa sieci, systemów oraz usług informatycznych dla działalności gospodarczej i społecznej, w szczególności dla funkcjonowania unijnego rynku wewnętrznego. Wskazano również na coraz większą skalę, częstotliwość oraz wpływ incydentów bezpieczeństwa na funkcjonowanie sieci i systemów informatycznych oraz na dotkliwe skutki ich wystąpienia; nie tylko na płaszczyźnie finansowej, ale również wizerunkowej, co doprowadza do utraty zaufania użytkowników usług cyfrowych. Dyrektywa NIS dała jednak państwom członkowskim stosunkowo dużą dowolność w zakresie sposobu jej implementacji. Do decyzji państw członkowskich należą m.in. kwestie ustalenia kryteriów pozwalających na identyfikację operatorów usług kluczowych, środków technicznych i organizacyjnych koniecznych do podjęcia przez operatorów usług kluczowych i dostawców usług cyfrowych dla zarządzania ryzykiem, sposobu raportowania incydentów bezpieczeństwa, czy środków nadzorczych i kontrolnych przysługujących odpowiednim organom państwowym. W Polsce dyrektywa NIS została implementowana ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[2].

Rozwój cyfryzacji w Unii Europejskiej na przestrzeni ostatnich lat był na tyle dynamiczny, że środki zapewnione dyrektywą NIS okazały się być w ocenie organów unijnych niewystarczające dla zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w państwach członkowskich. W związku z tym, w grudniu 2020 r. opublikowano projekt nowej dyrektywy NIS 2[3], która ma zastąpić obowiązującą dotychczas dyrektywę NIS i doprowadzić do większej harmonizacji przepisów z zakresu  cyberbezpieczeństwa na terytorium Unii Europejskiej. Projekt dyrektywy jest elementem unijnego pakietu na rzecz zapewniania cyberbezpieczeństwa. W uzasadnieniu dla wprowadzenia nowej dyrektywy wskazano między innymi, że konieczność zmiany unijnych przepisów związana jest z pandemią COVID-19, która znacząco przyspieszyła transformację cyfrową społeczeństwa i przedsiębiorstw, oraz z rosnącą liczbą ataków cybernetycznych. Projekt nowej dyrektywy ma również wyeliminować słabości związane ze stosowaniem przepisów dyrektywy NIS, spowodowane głównie różnicami w zakresie sposobu jej implementacji w poszczególnych krajach, brakiem zapewniania odpowiedniej współpracy i wymiany informacji pomiędzy państwami członkowskimi, jak również z brakiem właściwego egzekwowania wprowadzonych regulacji przez państwa członkowskie. W uzasadnieniu do dyrektywy NIS 2 wskazano, że właściwe organy niechętnie nakładały dotychczas kary na przedsiębiorstwa, które nie wykonywały swoich obowiązków. Ponadto zauważono, że zakres zastosowania dyrektywy NIS jest już nieaktualny i nie obejmuje wszystkich podmiotów, które powinny mieć dodatkowe obowiązki w zakresie cyberbezpieczeństwa. Zwrócono jednocześnie uwagę na przyjmowanie przez państwa członkowskie niejednolitych kryteriów służących wyznaczeniu operatorów usług kluczowych, przez co niektóre podmioty – mimo takiego pierwotnego założenia ze strony unijnego ustawodawcy – nie podlegają przepisom dyrektywy. W opinii autorów projektu dyrektywy NIS 2, dyrektywa ta, po jej implementacji do porządków krajowych, ma wyeliminować  wymienione wyżej słabości i doprowadzić do zwiększenia bezpieczeństwa usług cyfrowych świadczonych na terytorium Unii Europejskiej.

Nowe obowiązki państw członkowskich w zakresie cyberbezpieczeństwa

Na początku warto podkreślić, że zgodnie z założeniami projektu dyrektywy NIS 2 obowiązki państw członkowskich w zakresie cyberbezpieczeństwa nie ulegną znaczącym zmianom. W świetle projektu dyrektywy NIS 2 władze państw członkowskich powinny przede wszystkim:

  • zapewnić funkcjonowanie odpowiednich organów związanych z zapewnieniem cyberbezpieczeństwa (w tym m.in. wyznaczyć pojedyncze punkty kontaktu i właściwe zespołu reagowania na incydenty bezpieczeństwa komputerowego – CSIRT),
  • opracować krajowe strategie cyberbezpieczeństwa (w ramach których powinny zostać opracowane odpowiednie polityki, m.in. w zakresie rozwoju i promowania kompetencji dotyczących cyberbezpieczeństwa), a także
  • zapewnić współpracę z właściwymi organami i CSIRT innych państw członkowskich (m.in. w ramach sieci CSIRT oraz Grupy Współpracy państw członkowskich).

Nowością w stosunku do obecnej dyrektywy NIS jest natomiast wprowadzenie w projekcie dyrektywy NIS 2 obowiązku opracowania przez państwa członkowskie narodowego planu reagowania na kryzysy i  incydenty bezpieczeństwa o dużej skali (incident and crisis response plan). Plan ten powinien zawierać m.in. odpowiednie procedury, kanały przepływu informacji, czy środki mające na celu przygotowanie organów państw członkowskich na wypadek wystąpienia incydentów cyberbezpieczeństwa o dużej skali.

Zgodnie z założeniami projektu dyrektywy NIS 2 dla zapewnienia współpracy międzynarodowej przy reagowaniu na tego rodzaju incydenty utworzony ma być nowy organ – organizacja łącznikowa państw członkowskich, której głównym zadaniem będzie wsparcie w zakresie współpracy przy zarządzaniu incydentami bezpieczeństwa na dużą skalę (European Cyber Crises Liaison Organisation Network – EU - CyCLONe).

Tym samym, w stosunku do już obowiązującej dyrektywy NIS, najważniejsze zmiany w odniesieniu do obowiązków państw członkowskich, jakie mają być wprowadzone przez dyrektywę NIS 2, związane są zatem z zapewnieniem odpowiedniego poziomu przygotowania państw członkowskich i samej Unii Europejskiej na wystąpienie poważnych incydentów bezpieczeństwa sieci o szerokim zasięgu.

Podstawowym zadaniem państw członkowskich i powołanych przez nie właściwych organów krajowych pozostaje natomiast nadzór nad wypełnianiem obowiązków z zakresu cyberbezpieczeństwa przez podmioty podlegające nadzorowi. I to w zakresie sposobu kategoryzacji tych podmiotów widoczne są największe zmiany, jakie mają zostać prowadzone przez dyrektywę NIS 2 w stosunku do dyrektywy NIS.

Rozszerzenie katalogu podmiotów podlegających obowiązkom w zakresie cyberbezpieczeństwa

Najważniejszą i zarazem najbardziej istotną zmianą, w szczególności z perspektywy przedsiębiorców świadczących usługi cyfrowe, jest zmiana podmiotów objętych zakresem dyrektywy, a więc tych, na które nałożone zostaną dodatkowe obowiązki w zakresie cyberbezpieczeństwa.

W pierwszej kolejności należy zwrócić uwagę na to, że w przedstawionym projekcie dyrektywy NIS 2 zrezygnowano z dotychczasowego podziału podmiotów podlegających dyrektywie na dostawców usług cyfrowych oraz operatorów usług kluczowych, posługując się zamiast tego kategoriami „podmiotów kluczowych” („essential entities”) oraz „podmiotów istotnych” („important entities”). Zdecydowano również, że dla zapewnienia jednolitej transpozycji przepisów dyrektywy w państwach członkowskich, kwestia tego, które podmioty należy uznać za kluczowe, a które za istotne, zostanie uregulowana wprost w załącznikach do dyrektywy, bez pozostawiania w tym zakresie swobody ustawodawcom krajowym. W tym kontekście należy zwrócić uwagę na wyraźne rozszerzenie zakresu podmiotów uznawanych za „kluczowe” w porównaniu do katalogu podmiotów mogących stanowić operatorów usług kluczowych na gruncie dyrektywy NIS. Jako podmioty kluczowe z perspektywy zapewnienia cyberbezpiczeństwa, oprócz podmiotów z sektora energetycznego, transportowego, bankowego, finansowego, czy zdrowotnego, uznano m.in.:

  • dostawców usług przetwarzania w chmurze obliczeniowej (cloud computing service providers) – należących wcześniej do „niższej” kategorii dostawców usług cyfrowych;
  • dostawców usług centrów danych (data centre service providers) – nowej kategorii usług, obejmującej w szczególności usługi scentralizowanego przechowywania, przetwarzania i transportu danych łącznie z zapewnieniem wszelkich niezbędnych do tego celu narzędzi (np. obiektów i infrastruktury) oraz środków (np. dostaw energii);
  • dostawców usług CDN (content delivery network providers) – nowej kategorii usług, polegających na udostępnianiu sieci serwerów w celu zapewnienia możliwości dalszego udostępniania użytkownikom treści internetowych;
  • dostawców usług zaufania;
  • dostawców publicznych sieci łączności elektronicznej oraz usług łączności elektronicznej;
  • jednostek centralnej administracji rządowej.

Wśród podmiotów kluczowych wskazano również operatorów infrastruktury naziemnej, wspierających świadczenie usług kosmicznych –  to obecnie można traktować w kategoriach ciekawostki, jednak dobrze pokazuje spójne i przyszłościowe podejście Unii Europejskiej do kwestii cyberbezpieczeństwa.

Do kategorii podmiotów istotnych, (a więc podmiotów, których usługi charakteryzują się mniejszą krytycznością z perspektywy cyberbezpieczeństwa, niż podmioty kluczowe), zaliczono dostawców wyszukiwarek internetowych i internetowych platform handlowych (zaliczanych wcześniej do kategorii dostawców usług cyfrowych), ale również podmioty, które wcześniej w ogóle nie podlegały przepisom dyrektywy, takie jak dostawcy serwisów społecznościowych czy dostawcy usług pocztowych. Poza tym kategoria podmiotów istotnych obejmuje m.in. podmioty zarządzania odpadami, produkcji i dystrybucji chemikaliów, czy produkcji i dystrybucji żywności.

Abstrakcyjna grafika przedstawiająca widok dłoni piszących na klawiaturze laptopa, na którą cyfrowo naniesiono geometryczne wzory w odcieniach zieleni

Niezwykle istotne jest również to, że zgodnie z projektem nowej dyrektywy szczególnym obowiązkom w zakresie cyberbezpieczeństwa mogą podlegać również mali i mikro przedsiębiorcy, którzy spełniają określone kryteria, na przykład:

  • świadczą usługi określonego rodzaju (np. usługi zaufania czy usługi łączności elektronicznej);
  • posiadają szczególny status (np. są podmiotami publicznymi lub jedynymi dostawcami usług określonego rodzaju w danym państwie członkowskim);
  • zakłócenia w działaniu usług świadczonych przez te podmioty mogłyby mieć istotny skutek np. dla bezpieczeństwa publicznego czy zdrowia publicznego.

W takich przypadkach obowiązki wynikające z dyrektywy NIS 2 będą miały zastosowanie nawet do małych i mikro przedsiębiorców, o ile stanowią one podmioty kluczowe lub istotne. Jest to ważna zmiana w stosunku do obecnie obowiązujących regulacji dyrektywy NIS, które wyłączyły z pojęcia dostawców usług cyfrowych małych i mikro przedsiębiorców, którzy nie są zobowiązani do wypełniania obowiązków wynikających z dyrektywy NIS, nawet jeśli ich usługi stanowią usługi cyfrowe na gruncie tej dyrektywy.

Nowe obowiązki dla podmiotów kluczowych i istotnych

W projekcie dyrektywy NIS 2 zrezygnowano z rozróżnienia zakresu obowiązków w zakresie cyberbezpieczeństwa w zależności od kategorii podmiotu obowiązanego – a zatem jednolite obowiązki stosowane są zarówno do podmiotów kluczowych, jak i istotnych. Podobnie jak w przypadku dyrektywy NIS, podmioty te mają obowiązek podjęcia odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami, na jakie są narażone sieci i systemy informatyczne wykorzystywane przez nie do świadczenia usług. Przepisy dyrektywy określają jednocześnie „niezbędne minimum” środków zmierzających do ograniczenia ryzyka wystąpienia incydentu bezpieczeństwa, które muszą zostać zapewnione przez każdy podmiot kluczowy lub istotny, w tym m.in.:

  • prowadzenie analizy ryzyka;
  • zapewnienie bieżącej obsługi incydentów;
  • opracowanie planu ciągłości działania;
  • opracowanie odpowiednich polityk i procedur w zakresie testowania i przeprowadzania audytów zabezpieczeń;
  • korzystanie z kryptografii i szyfrowania.

Należy podkreślić jednocześnie, że mimo rozciągnięcia konieczności zastosowania powyższych środków na wszystkie podmioty kluczowe i istotne, to sposób ich realizacji (np. rodzaj stosowanego szyfrowania) powinien być adekwatny do poziomu ryzyka wystąpienia incydentu bezpieczeństwa. Inne środki będą musiały zostać zatem powzięte przez niewielkie podmioty publiczne, a inne – przez dużych dostawców chmury obliczeniowej, zarządzających zlokalizowanymi w Polsce centrami przetwarzania danych. Co istotne, projekt dyrektywy NIS 2 daje państwom członkowskim możliwość dodatkowego doprecyzowania środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa. Warto jednocześnie zaznaczyć, że już sam projekt dyrektywy NIS 2 opisuje je w sposób dosyć szczegółowy.

Kolejnym ważnym obowiązkiem nałożonym na wszystkie podmioty kluczowe oraz istotne jest obowiązek raportowania incydentów bezpieczeństwa, który istniał już co prawda na gruncie dyrektywy NIS, ale w projekcie dyrektywy NIS 2 zarówno procedura raportowania incydentów, jak i konsekwencje jej niedochowania, zostały uregulowane w dużo bardziej precyzyjny i szczegółowy sposób.

Procedura raportowania incydentów i kary administracyjne za naruszenie obowiązków przez podmioty istotne i kluczowe

Wszystkie podmioty istotne i kluczowe objęte są na gruncie projektu dyrektywy NIS 2 obowiązkiem raportowania do CSIRT lub innego kompetentnego organu dwóch kategorii informacji:

  • informacji o incydentach bezpieczeństwa mających istotny wpływ na świadczenie usług przez te podmioty;
  • informacji o wszelkich zidentyfikowanych zagrożeniach cybernetycznych, które mogą doprowadzić do wystąpienia istotnego incydentu bezpieczeństwa – przy czym jako incydent istotny należy traktować incydent powodujący znaczące utrudnienia organizacyjne lub straty finansowe dla danego podmiotu albo mający choćby potencjalny wpływ na inne osoby fizyczne lub prawne i mogący spowodować po stronie tych osób znaczne straty materialne lub niematerialne.

Należy zwrócić uwagę na to, że obowiązek raportowania dotyczy zarówno samego faktu wystąpienia incydentu, jak i wszelkich zagrożeń mogących doprowadzić do jego powstania – projekt dyrektywy NIS 2 akcentuje zatem nie tylko konieczność niezwłocznego podjęcia działań zmierzających do zredukowania negatywnych skutków wystąpienia incydentu bezpieczeństwa, ale również istotność podejmowania działań prewencyjnych zapobiegających w ogóle jego wystąpieniu.

Zgłoszenia powinny być dokonywane niezwłocznie, przy czym w przypadku raportowania incydentów bezpieczeństwa dyrektywa przewiduje w tym zakresie specjalną, dwuetapową procedurę. Podmiot zobowiązany powinien w pierwszej kolejności najpóźniej w ciągu 24 godzin dokonać wstępnego zgłoszenia incydentu, na które właściwy organ lub CSIRT powinien odpowiedzieć również w terminie 24 godzin, wskazując wstępną ocenę incydentu. Następnie, na żądanie CSIRT lub właściwego organu, podmiot zgłaszający może zostać zobowiązany do przedstawienia informacji o statusie incydentu, a na koniec (najpóźniej w terminie miesiąca od zgłoszenia incydentu) powinien przedstawić szczegółowy raport zawierający co najmniej opis incydentu, jego przyczynę oraz powzięte środki w celu złagodzenia jego skutków, a także zapobieżenia ponownemu wystąpieniu w przyszłości. Przewidziane dyrektywą NIS 2 terminy są stosunkowo krótkie, co wydaje się dostrzegać sam ustawodawca unijny – dlatego też właściwy organ lub CSIRT w razie zaistnienia uzasadnionych przyczyn ma możliwość ich wydłużenia.

Niezastosowanie się podmiotów istotnych i kluczowych do zasad obsługi incydentów oraz do innych obowiązków przewidzianych dyrektywą może skutkować zastosowaniem przez właściwy organ krajowy środków nadzorczych, a w uzasadnionych przypadkach – administracyjnych kar pieniężnych. Projekt dyrektywy NIS 2 pozostaje w tym zakresie dużo bardziej szczegółowy, niż przepisy dyrektywy NIS, wskazując wprost środki nadzorcze, które mogą być zastosowane w stosunku do podmiotów podlegających przepisom dyrektywy – środki te różnią się w zależności od kategorii podmiotu (istotny lub kluczowy) i obejmują m.in. możliwość kierowania ostrzeżeń, wiążących instrukcji i poleceń, nałożenie obowiązku poinformowania osób zagrożonych wystąpieniem incydentu bezpieczeństwa o ryzyku z tym związanym, czy zobowiązanie danego podmiotu do podania do publicznej wiadomości informacji o niedopełnieniu obowiązków przewidzianych dyrektywą (co – w przypadku dużych podmiotów – może mieć istotne, negatywne konsekwencje wizerunkowe).

Dodatkowo, w odniesieniu do podmiotów kluczowych, w przypadku, gdyby zastosowane środki nie doprowadziły do przestrzegania przez ten podmiot nałożonych obowiązków, właściwy organ krajowy powinien mieć dodatkowo możliwość:

  • cofnięcia lub zawieszenia zezwolenia danego podmiotu na prowadzenie określonego rodzaju działalności – co może mieć szczególne znaczenie dla podmiotów działających na rynkach regulowanych, np. dla branży finansowej, telekomunikacyjnej czy energetycznej;
  • zakazać sprawowania funkcji kierowniczych w danym podmiocie osobie odpowiedzialnej za naruszenie obowiązków wynikających z dyrektywy.

Niezależnie od powyższego, w stosunku do podmiotów istotnych i kluczowych naruszających swoje obowiązki wynikające z dyrektywy, oprócz zastosowania środków nadzorczych lub zamiast tych środków, właściwe organy państw członkowskich powinny mieć możliwość nałożenia na te podmioty administracyjnych kar pieniężnych, których wartość nie może przekroczyć kwoty 10 mln euro lub kwoty stanowiącej wartość 2% rocznego obrotu danego podmiotu (zależnie od tego, która suma jest wyższa), przy czym wymierzając wysokość administracyjnej kary pieniężnej należy wziąć pod uwagę jej proporcjonalność w stosunku do dokonanego naruszenia.

Co jednak istotne, w przypadku, gdyby incydent bezpieczeństwa stanowił również naruszenie przepisów RODO[4], za które to naruszenie została już wymierzona administracyjna kara pieniężna na podstawie RODO, właściwy organ nie może za to samo naruszenie nałożyć drugiej kary na podstawie przepisów dyrektywy NIS 2, co nie wyłącza możliwości zastosowania innych środków nadzorczych, m.in. cofnięcia zezwolenia na prowadzenie działalności regulowanej.

Podsumowanie

Projekt dyrektywy NIS 2 podąża ścieżką wytyczoną wcześniej przez dyrektywę NIS, będąc jednocześnie jej bardziej doprecyzowaną i surowszą wersją. W przypadku przyjęcia dyrektywy w obecnym kształcie, szczególnymi obowiązkami w zakresie cyberbezpieczeństwa zostanie objęty znacznie szerszy krąg podmiotów, niż dotychczas, w tym niektórzy mali i mikro przedsiębiorcy. Podmioty te będą przy tym musiały spełnić szereg specyficznych wymagań, za których nieprzestrzeganie będą grozić surowe konsekwencje, w tym możliwe do nałożenia bardzo wysokie kary finansowe. Warto mieć jednak na uwadze, że projekt dyrektywy NIS 2 jest obecnie w trakcie prac legislacyjnych i może jeszcze zostać zmieniony, choć zakładać należy, że ogólny kierunek regulacji zostanie raczej zachowany. Zgodnie z założeniami projektu dyrektywy NIS 2, po jej uchwaleniu powinna ona zostać implementowana do krajowego porządku krajowego w ciągu 18 miesięcy.

Agnieszka Wachowska

radczyni prawna, partner w kancelarii Traple Konarski Podrecki i Wspólnicy sp.j.

Aleksander Elmerych

aplikant radcowski, junior associate w kancelarii Traple Konarski Podrecki i Wspólnicy sp.j.

Przeczytaj więcej takich artykułów w strefie wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 4/2021


[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1)

[2] (t.j. Dz. U. z 2020 r. poz. 1369 z późn. zm.)

[3] Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148, COM/2020/823 final, dostępny pod adresem: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72166

[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)