Cyberbezpieczeństwo podstawą nowoczesnej gospodarki – nowe obowiązki dla rozszerzonego grona podmiotów

Wprowadzenie 

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Ustawa o KSC”) ma za zadanie wdrożenie do polskiego porządku prawnego dyrektywy NIS 2 (Network and Information Systems Directive 2, tj. Dyrektywy dotyczącej bezpieczeństwa sieci i informacji, „NIS 2”), na której implementację do krajowych porządków prawnych państwa członkowskie miały czas do 17 października 2024 r. (Polska nie dopełniła tego terminu – projekt ustawy jest na dzień 04.11.2024 r. na etapie prac rządowych).  

Pomimo poprawy poziomu cyberbezpieczeństwa w UE po wprowadzeniu NIS w 2016 r., transformacja cyfrowa nadal przyspieszała, w szczególności w obliczu pandemii Covid-19, a organy odpowiedzialne za cyberbezpieczeństwo reagowały na to w sposób nieadekwatny i niezapewniający odpowiedniego poziomu  bezpieczeństwa. Ponadto pomiędzy krajami członkowskimi pojawiły się rozbieżności interpretacyjne, w wyniku czego zakres podmiotowy i przedmiotowy przepisów wdrażających NIS w krajach członkowskich różnił się zasadniczo. W odpowiedzi na te nieprawidłowości oraz rosnącą liczbę cyberataków przyjęto Dyrektywę NIS 2, która uchyliła dotychczas obowiązujący akt prawny, tj. dyrektywę NIS z 2016 roku. 

Wprowadzenie nowych przepisów ma za zadanie przede wszystkim zabezpieczenie infrastruktury krytycznej na której opiera się funkcjonowanie państwa i kluczowe sektory gospodarki (systemy dystrybucji energii, wody pitnej, służba zdrowia, instytucje finansowe, bankowość i inne). Z tych powodów nowymi obowiązkami objęte zostaną zarówno przedsiębiorstwa prywatne jak i administracja publiczna.  

Kluczowe zmiany 

Dyrektywa NIS 2:

• precyzuje bądź redefiniuje kompetencje organów UE w obszarze cyberbezpieczeństwa, 
• rozszerza krąg podmiotów objętych obowiązkami (dzieląc je na podmioty kluczowe i ważne) i katalog obowiązków, którym powinny one sprostać, w tym rygorystyczne przepisy w obszarze zarządzania ryzykiem i raportowania incydentów,
• wprowadza procedurę uznania dostawcy za dostawcę wysokiego ryzyka („DWR”) i związane z tym obowiązki, 
• wprowadza obowiązek przeprowadzania co dwa lata audytów bezpieczeństwa systemu informacyjnego wraz z obowiązkiem przedstawienia sprawozdania.

W ślad za NIS 2, polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa rozszerza zakres podmiotowy oraz katalog obowiązków, które powinny być spełnione przez podmioty objęte nowymi przepisami, wprowadza obowiązek badania tych podmiotów na podstawie sprawozdań finansowych a także wprowadza nowe struktury ds. wykonywania zadań z zakresu cyberbezpieczeństwa oraz nowe kanały komunikacji. W Ustawie o KSC zmodyfikowano definicje dostawców chmury obliczeniowej, dostawców usług zarządzanych w zakresie cyberbezpieczeństwa oraz internetowych platform handlowych. Wydłużono termin przeprowadzania audytów dla podmiotów kluczowych z 2 do 3 lat, a czas na wykonanie pierwszego audytu z 12 do 24 miesięcy. Wydłużono także termin realizacji podstawowych obowiązków wynikających z Ustawy o KSC z 6 do 12 miesięcy oraz z 12 na 24 godziny wydłużono termin dla przedsiębiorstw komunikacyjnych na zgłoszenie wczesnych ostrzeżeń o zagrożeniach. Zwiększono bezpieczeństwo sieci 5G poprzez zaplanowanie wdrożenia Toolbox 5G, harmonizującego zasady cyberbezpieczeństwa sieci 5G na poziomie UE a także bezpieczeństwa łańcucha dostaw, gdyż nowe przepisy będą dotyczyć wyłącznie bezpośrednich dostawców.  

Rozszerzony katalog branż

W związku z nowelizacją Ustawy o KSC rozszerzeniu uległa lista sektorów objętych nowymi regulacjami – sektory kluczowe wskazano w Załączniku 1 a sektory ważne w Załączniku 2 do dyrektywy NIS 2. Do sektorów kluczowych zaliczono następujące obszary: energetykę; transport; bankowość; infrastrukturę rynków finansowych; opiekę zdrowotną; zaopatrzenie w wodę pitną; ścieki; infrastrukturę cyfrową;  zarządzanie usługami ICT; podmioty administracji publicznej oraz przestrzeń kosmiczną. 

Sektory ważne w rozumieniu NIS2 to natomiast usługi pocztowe i kurierskie; gospodarka odpadami; produkcja, wytwarzanie i  dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja (zaliczono do niej np. wyroby medyczne, komputery, urządzenia elektryczne i samochody); dostawcy usług cyfrowych (internetowych platform handlowych, wyszukiwarek, sieci społecznościowych) i badania naukowe.

Zatem nowym przepisom będą podlegać podmioty kluczowe i ważne z ww. sektorów gospodarki, które – dodatkowo – co do zasady są co najmniej średnimi przedsiębiorstwami zgodnie z wymogami określonymi w art. 2 ust. 1 załącznika 1 do rozporządzenia 651/2014/UE  (z paroma wyjątkami wskazanymi w NIS 2). 

Wyznaczenie podmiotów kluczowych i ważnych

Czy Twoja firma zalicza się do grona podmiotów podlegających Dyrektywie NIS 2?

Nowelizacja Ustawy o KSC zastępuje dotychczasowy podział na operatorów kluczowych i dostawców usług cyfrowych podziałem na podmioty kluczowe i ważne. Podmioty kluczowe to podmioty, których zakłócenie działalności spowodowane cyberatakami może powodować poważne konsekwencje społeczno-gospodarcze (w tym administracja publiczna). Zgodnie z projektem Ustawy o KSC podmiotem kluczowym jest:

• osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej;
• przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy;
• dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE albo je przewyższa;
• niezależnie od wielkości podmiotu:

• • dostawca usług DNS;
  • kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia nr 910/2014;
  • podmiot krytyczny;
  • podmiot publiczny;
  • podmiot zidentyfikowany jako podmiot kluczowy na podstawie art. 7l ust.2 pkt 1;
  • państwowa osoba prawna zidentyfikowana jako podmiot kluczowy na podstawie art. 7m;
  • podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo poprzez określenie jego rodzaju;
  • podmiot będący operatorem obiektu energetyki jądrowej, o którym mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących (Dz. U. z 2024 r. gpoz.1410);
  • rejestr nazw domen najwyższego poziomu (TLD).

W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień tej dyrektywy jest również objęcie przepisami tej ustawy wszystkich podmiotów publicznych, niezależnie od wielkości.

Podmioty ważne natomiast co do zasady to podmioty wskazane w załączniku 1 i 2 nie kwalifikujące się do grupy podmiotów kluczowych. Ponadto zgodnie z dyrektywą NIS 2 są nimi również podmioty wskazane przez państwa członkowskie. W naszym kraju będą to:

• mikro-, mały lub średni przedsiębiorca w rozumieniu rozporządzenia 651/2014/UE, który jest niekwalifikowanym dostawcą usług zaufania albo przedsiębiorcą komunikacji elektronicznej,
• podmiot zidentyfikowany jako podmiot ważny przez organ właściwy do spraw cyberbezpieczeństwa.

Obowiązki podmiotów kluczowych i ważnych 

Zgodnie z nowymi regulacjami, takie same obowiązki nałożono na podmioty kluczowe i ważne z zastrzeżeniem, że mają one uwzględniać w pewnym stopniu specyfikę danej organizacji. Obowiązki obejmują:

• Proporcjonalne środki zarządzania ryzykiem w cyberbezpieczeństwie uwzględniające: 

• • ryzyko,
  • wielkość podmiotu,
  • prawdopodobieństwo wystąpienia incydentów i ich dotkliwość;

• Zgłaszanie incydentów poważnych do właściwego organu;
• Obowiązkowe szkolenia dla kadry kierowniczej oraz zalecane dla pracowników;
• W określonych sytuacjach – powiadamianie odbiorców usług o poważnych incydentach oraz środkach zaradczych;
• Stosowanie własnych lub nabytych certyfikowanych produktów, usług i procesów ICT; zalecane korzystanie z kwalifikowanych usług zaufania; 
• Zawiadamianie o uczestnictwie w mechanizmach wymiany informacji.

Zgodnie z NIS 2, najważniejsze obowiązki podmiotów kluczowych i ważnych to wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, tj. środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych. Takie wdrożenie ma na celu zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności gospodarczej a także zapobieganie wpływowi incydentów na odbiorców ich usług bądź minimalizowania takiego wpływu. Środki te mają uwzględniać wszystkie zagrożenia i mają chronić przed incydentami. Przepisy nie przewidują konkretnych środków dla konkretnych grup podmiotów, tylko wymagają żeby wprowadzone w danej organizacji środki zarządzania ryzykiem były:

• proporcjonalne,
• uwzględniające stopień narażenia podmiotu na ryzyko,
• uwzględniające wielkość podmiotu,
• uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze. 

Organizacja samodzielnie musi dokonać oceny, czy zastosowane u niej środki zarządzania ryzykiem spełniają powyższe wymogi. W razie stwierdzenia niezgodności z wymogami NIS 2, organizacja  będzie zobowiązana do zastosowania środków naprawczych. Dyrektywa NIS 2 w ramach obowiązku wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie zobowiązuje organizacje  do zapewnienia co najmniej:

• polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
• obsługi incydentu;
• ciągłości działania i zarządzania kryzysowego, np. zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej;
• bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
• bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania;
• polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie; 
• podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa;
• polityk i procedur stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
• bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami;
• w stosownych przypadkach – stosowania uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych. 

Konkludując obowiązki nałożone na podmioty kluczowe i ważne z określonych sektorów są dość rygorystyczne i wymagają dużo czasu na ich prawidłowe wdrożenie w organizacji (choćby z powodu konieczności współpracy specjalistów z wielu dziedzin, np. IT i prawa). Z tego powodu warto jak najszybciej rozpocząć przygotowania do wdrożenia zasad zawartych w NIS 2, aby osiągnąć niezbędne minimum wskazane w dyrektywie, w szczególności, że NIS 2 wprowadza dotkliwe kary i sankcje za nieprzestrzeganie przepisów w obszarze zapewnienia cyberbezpieczeństwa. Kary finansowe mogą sięgać nawet 10 milionów euro lub 2 % rocznego obrotu dla podmiotów kluczowych, a 7 milionów euro lub 1,4 % dla podmiotów ważnych (organizacje mogą zostać obciążone w zależności od stopnia naruszenia i proporcjonalnie do skali zaniedbania). Niezgodność z wymogami NIS 2 może skutkować ponadto kryzysem wizerunkowym, brakiem bezpieczeństwa operacyjnego dla organizacji a nawet zamknięciem działalności.