03.11.2024 News | Publikacje | Regulacje prawne
Cyberbezpieczeństwo podstawą nowoczesnej gospodarki – nowe obowiązki dla rozszerzonego grona podmiotów
Wprowadzenie
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Ustawa o KSC”) ma za zadanie wdrożenie do polskiego porządku prawnego dyrektywy NIS 2 (Network and Information Systems Directive 2, tj. Dyrektywy dotyczącej bezpieczeństwa sieci i informacji, „NIS 2”), na której implementację do krajowych porządków prawnych państwa członkowskie miały czas do 17 października 2024 r. (Polska nie dopełniła tego terminu – projekt ustawy jest na dzień 04.11.2024 r. na etapie prac rządowych).
Pomimo poprawy poziomu cyberbezpieczeństwa w UE po wprowadzeniu NIS w 2016 r., transformacja cyfrowa nadal przyspieszała, w szczególności w obliczu pandemii Covid-19, a organy odpowiedzialne za cyberbezpieczeństwo reagowały na to w sposób nieadekwatny i niezapewniający odpowiedniego poziomu bezpieczeństwa. Ponadto pomiędzy krajami członkowskimi pojawiły się rozbieżności interpretacyjne, w wyniku czego zakres podmiotowy i przedmiotowy przepisów wdrażających NIS w krajach członkowskich różnił się zasadniczo. W odpowiedzi na te nieprawidłowości oraz rosnącą liczbę cyberataków przyjęto Dyrektywę NIS 2, która uchyliła dotychczas obowiązujący akt prawny, tj. dyrektywę NIS z 2016 roku.
Wprowadzenie nowych przepisów ma za zadanie przede wszystkim zabezpieczenie infrastruktury krytycznej na której opiera się funkcjonowanie państwa i kluczowe sektory gospodarki (systemy dystrybucji energii, wody pitnej, służba zdrowia, instytucje finansowe, bankowość i inne). Z tych powodów nowymi obowiązkami objęte zostaną zarówno przedsiębiorstwa prywatne jak i administracja publiczna.
Kluczowe zmiany
Dyrektywa NIS 2:
- precyzuje bądź redefiniuje kompetencje organów UE w obszarze cyberbezpieczeństwa,
- rozszerza krąg podmiotów objętych obowiązkami (dzieląc je na podmioty kluczowe i ważne) i katalog obowiązków, którym powinny one sprostać, w tym rygorystyczne przepisy w obszarze zarządzania ryzykiem i raportowania incydentów,
- wprowadza procedurę uznania dostawcy za dostawcę wysokiego ryzyka („DWR”) i związane z tym obowiązki,
- wprowadza obowiązek przeprowadzania co dwa lata audytów bezpieczeństwa systemu informacyjnego wraz z obowiązkiem przedstawienia sprawozdania.
W ślad za NIS 2, polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa rozszerza zakres podmiotowy oraz katalog obowiązków, które powinny być spełnione przez podmioty objęte nowymi przepisami, wprowadza obowiązek badania tych podmiotów na podstawie sprawozdań finansowych a także wprowadza nowe struktury ds. wykonywania zadań z zakresu cyberbezpieczeństwa oraz nowe kanały komunikacji. W Ustawie o KSC zmodyfikowano definicje dostawców chmury obliczeniowej, dostawców usług zarządzanych w zakresie cyberbezpieczeństwa oraz internetowych platform handlowych. Wydłużono termin przeprowadzania audytów dla podmiotów kluczowych z 2 do 3 lat, a czas na wykonanie pierwszego audytu z 12 do 24 miesięcy. Wydłużono także termin realizacji podstawowych obowiązków wynikających z Ustawy o KSC z 6 do 12 miesięcy oraz z 12 na 24 godziny wydłużono termin dla przedsiębiorstw komunikacyjnych na zgłoszenie wczesnych ostrzeżeń o zagrożeniach. Zwiększono bezpieczeństwo sieci 5G poprzez zaplanowanie wdrożenia Toolbox 5G, harmonizującego zasady cyberbezpieczeństwa sieci 5G na poziomie UE a także bezpieczeństwa łańcucha dostaw, gdyż nowe przepisy będą dotyczyć wyłącznie bezpośrednich dostawców.
Rozszerzony katalog branż
W związku z nowelizacją Ustawy o KSC rozszerzeniu uległa lista sektorów objętych nowymi regulacjami – sektory kluczowe wskazano w Załączniku 1 a sektory ważne w Załączniku 2 do dyrektywy NIS 2. Do sektorów kluczowych zaliczono następujące obszary: energetykę; transport; bankowość; infrastrukturę rynków finansowych; opiekę zdrowotną; zaopatrzenie w wodę pitną; ścieki; infrastrukturę cyfrową; zarządzanie usługami ICT; podmioty administracji publicznej oraz przestrzeń kosmiczną.
Sektory ważne w rozumieniu NIS2 to natomiast usługi pocztowe i kurierskie; gospodarka odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja (zaliczono do niej np. wyroby medyczne, komputery, urządzenia elektryczne i samochody); dostawcy usług cyfrowych (internetowych platform handlowych, wyszukiwarek, sieci społecznościowych) i badania naukowe.
Zatem nowym przepisom będą podlegać podmioty kluczowe i ważne z ww. sektorów gospodarki, które – dodatkowo – co do zasady są co najmniej średnimi przedsiębiorstwami zgodnie z wymogami określonymi w art. 2 ust. 1 załącznika 1 do rozporządzenia 651/2014/UE (z paroma wyjątkami wskazanymi w NIS 2).
Wyznaczenie podmiotów kluczowych i ważnych
Czy Twoja firma zalicza się do grona podmiotów podlegających Dyrektywie NIS 2?
Nowelizacja Ustawy o KSC zastępuje dotychczasowy podział na operatorów kluczowych i dostawców usług cyfrowych podziałem na podmioty kluczowe i ważne. Podmioty kluczowe to podmioty, których zakłócenie działalności spowodowane cyberatakami może powodować poważne konsekwencje społeczno-gospodarcze (w tym administracja publiczna). Zgodnie z projektem Ustawy o KSC podmiotem kluczowym jest:
- osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej;
- przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy;
- dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE albo je przewyższa;
- niezależnie od wielkości podmiotu:
- dostawca usług DNS;
- kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia nr 910/2014;
- podmiot krytyczny;
- podmiot publiczny;
- podmiot zidentyfikowany jako podmiot kluczowy na podstawie art. 7l ust.2 pkt 1;
- państwowa osoba prawna zidentyfikowana jako podmiot kluczowy na podstawie art. 7m;
- podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo poprzez określenie jego rodzaju;
- podmiot będący operatorem obiektu energetyki jądrowej, o którym mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących (Dz. U. z 2024 r. gpoz.1410);
- rejestr nazw domen najwyższego poziomu (TLD).
W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień tej dyrektywy jest również objęcie przepisami tej ustawy wszystkich podmiotów publicznych, niezależnie od wielkości.
Podmioty ważne natomiast co do zasady to podmioty wskazane w załączniku 1 i 2 nie kwalifikujące się do grupy podmiotów kluczowych. Ponadto zgodnie z dyrektywą NIS 2 są nimi również podmioty wskazane przez państwa członkowskie. W naszym kraju będą to:
- mikro-, mały lub średni przedsiębiorca w rozumieniu rozporządzenia 651/2014/UE, który jest niekwalifikowanym dostawcą usług zaufania albo przedsiębiorcą komunikacji elektronicznej,
- podmiot zidentyfikowany jako podmiot ważny przez organ właściwy do spraw cyberbezpieczeństwa.
Obowiązki podmiotów kluczowych i ważnych
Zgodnie z nowymi regulacjami, takie same obowiązki nałożono na podmioty kluczowe i ważne z zastrzeżeniem, że mają one uwzględniać w pewnym stopniu specyfikę danej organizacji. Obowiązki obejmują:
- Proporcjonalne środki zarządzania ryzykiem w cyberbezpieczeństwie uwzględniające:
- ryzyko,
- wielkość podmiotu,
- prawdopodobieństwo wystąpienia incydentów i ich dotkliwość;
- Zgłaszanie incydentów poważnych do właściwego organu;
- Obowiązkowe szkolenia dla kadry kierowniczej oraz zalecane dla pracowników;
- W określonych sytuacjach – powiadamianie odbiorców usług o poważnych incydentach oraz środkach zaradczych;
- Stosowanie własnych lub nabytych certyfikowanych produktów, usług i procesów ICT; zalecane korzystanie z kwalifikowanych usług zaufania;
- Zawiadamianie o uczestnictwie w mechanizmach wymiany informacji.
Zgodnie z NIS 2, najważniejsze obowiązki podmiotów kluczowych i ważnych to wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, tj. środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych. Takie wdrożenie ma na celu zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności gospodarczej a także zapobieganie wpływowi incydentów na odbiorców ich usług bądź minimalizowania takiego wpływu. Środki te mają uwzględniać wszystkie zagrożenia i mają chronić przed incydentami. Przepisy nie przewidują konkretnych środków dla konkretnych grup podmiotów, tylko wymagają żeby wprowadzone w danej organizacji środki zarządzania ryzykiem były:
- proporcjonalne,
- uwzględniające stopień narażenia podmiotu na ryzyko,
- uwzględniające wielkość podmiotu,
- uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.
Organizacja samodzielnie musi dokonać oceny, czy zastosowane u niej środki zarządzania ryzykiem spełniają powyższe wymogi. W razie stwierdzenia niezgodności z wymogami NIS 2, organizacja będzie zobowiązana do zastosowania środków naprawczych. Dyrektywa NIS 2 w ramach obowiązku wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie zobowiązuje organizacje do zapewnienia co najmniej:
- polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
- obsługi incydentu;
- ciągłości działania i zarządzania kryzysowego, np. zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej;
- bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania;
- polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
- podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa;
- polityk i procedur stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
- bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami;
- w stosownych przypadkach – stosowania uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Konkludując obowiązki nałożone na podmioty kluczowe i ważne z określonych sektorów są dość rygorystyczne i wymagają dużo czasu na ich prawidłowe wdrożenie w organizacji (choćby z powodu konieczności współpracy specjalistów z wielu dziedzin, np. IT i prawa). Z tego powodu warto jak najszybciej rozpocząć przygotowania do wdrożenia zasad zawartych w NIS 2, aby osiągnąć niezbędne minimum wskazane w dyrektywie, w szczególności, że NIS 2 wprowadza dotkliwe kary i sankcje za nieprzestrzeganie przepisów w obszarze zapewnienia cyberbezpieczeństwa. Kary finansowe mogą sięgać nawet 10 milionów euro lub 2 % rocznego obrotu dla podmiotów kluczowych, a 7 milionów euro lub 1,4 % dla podmiotów ważnych (organizacje mogą zostać obciążone w zależności od stopnia naruszenia i proporcjonalnie do skali zaniedbania). Niezgodność z wymogami NIS 2 może skutkować ponadto kryzysem wizerunkowym, brakiem bezpieczeństwa operacyjnego dla organizacji a nawet zamknięciem działalności.
Zobacz również
Księgowość | News | 27.11.2024
Kasowy PIT wchodzi w życie od nowego roku
Regulacje prawne | News | 20.11.2024
Unijne rozporządzenie dotyczące wylesiania przełożone o rok
Regulacje prawne | News | 13.11.2024
Doręczenia elektroniczne zaczną obowiązywać z początkiem nowego roku