Analiza dyrektywy NIS2

Bezpieczeństwo od zawsze stanowiło podstawowe kryterium przy praktycznie każdej formie organizacji, jaką tworzył człowiek. Badając tak podstawowe wydawałoby się czynniki wpływające na zakres, nie tylko przetrwania ale również rozwoju, jak na początku istnienia gatunku ludzkiego – zaopatrzenie w pożywienie –  czy późniejsza stabilność finansowa – po wynalezieniu pierwszego środka płatniczego, znoszącego wymianę barterową – należy mieć zawsze na uwadze, że w gruncie rzeczy orbitują one wokół jednego zagadnienia, jakim jest właśnie bezpieczeństwo. O jego fenomenie powinien świadczyć również fakt, że całe doktryny polityczne i gospodarcze, od tych zakładających największą swobodę obywatelską po te najbardziej drakońskie w swej istocie zawsze dokonywały swoistej autoprezentacji w oparciu o to kryterium. Nie inaczej jest w obecnych czasach. Unia europejska, a mówiąc dokładniej Parlament Europejski przyjął dyrektywę potencjalnie stanowiącą najważniejszy akt prawny dotyczący cyberbezpieczeństwa (bezpieczeństwa informacji), która weszła w życie 16 stycznia 2023 zastępując dyrektywę (2016/1148). Uchylona dyrektywa nosiła miano NIS, zaś nowy akt prawny (przepis derogacyjny) faktycznie stanowiący rozszerzenie do poprzednio obowiązującego ochrzczony został, jako NIS2.

Mając na względzie, jak najdokładniejsze przedstawienie omawianej tematyki, niniejsza tekst został podzielony na sześć różnych części:

1. Czym jest NIS2

2. Kiedy wchodzi w życie

3. Dla kogo jest obowiązkowa i w jakim zakresie

4. Co to oznacza dla firm prywatnych

5. Co oznacza dla gmin

6. Co to są podmioty wrażliwe(i inne które są określone w NIS2)

Ad. do 1. Czym jest NIS2

Zaczynając od rzeczy elementarnych, należałoby w pierwszej kolejności omówić samo pojęcie. NIS (czyli Network and Information Security), jak sama nazwa wskazuje, jest systemem odpowiedzialnym za ochronę sieci i informacji przed potencjalnymi atakami i kradzieżą danych. Dyrektywa NIS2 to najnowszy akt prawny, uchwalony przez Parlament Europejski (jak było to wyżej wspomniane), powołany w celu zapewnienia większego bezpieczeństwa cyfrowego na kontynencie europejskim – mówiąc dokładniej, w obrębie państw członkowskich UE. Przypomnieć należy, że dyrektywa zgodnie z art 288 TFUE  wiąże każde Państwo Członkowskie, do którego jest kierowana, w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków. Oznacza to ni mniej ni więcej, że państwa członkowie objęte nią mają szersze pole manewru przy jej wdrażaniu, w porównaniu do choćby do rozporządzeń.

Pierwszy NIS w ramach zachowania klarowności i spójności tekstu dokonał rozróżnienia na dwa różne rodzaje podmiotów: OES (Operatorzy Usług Kluczowych) i DSP (Dostawcy Usług Cyfrowych). NIS2 nie rezygnuje całkiem z tego rozwiązania, wszak przedstawia on własny, oryginalny podział na podmioty noszące następujące nazwy: Podmioty istotne (duże firmy obejmują sektory o strategicznym znaczeniu) i Podmioty ważne (mniejsze od istotnych i nie podlegające aż tak pedantycznej kontroli i sankcjom).

Specyfika tego aktu prawnego polega na jego surowości, wynikającej z sukcesywnie rosnących potrzeb zapewnienia bezpieczeństwa danych i systemów.
Jest to dyrektywa, która:

A. Obliguje bezapelacyjnie część podmiotów do jej wdrożenia (patrz punkt 3)

B. Wymaga zawsze środków ochrony (obejmuje on takie zagadnienia jak)

a) Przeprowadzanie szkoleń z zakresu cyberbezpieczeństwa

b) Nakładanie obowiązków składania raportów o wszelkich incydentach, potencjalnie zagrażających bezpieczeństwu – rozumie się przez to obowiązek natychmiastowego zgłoszenia nawet marginalnego naruszenia cyberbezpieczeństwa do odpowiednich krajowych organów nadzorczych. Zgłoszenie to musi nastąpić w ciągu dwudziestu czterech godzin od chwili wystąpienia rzeczonego naruszenia.

c) Obligowanie podmiotów do bardziej efektywnego zarządzania ryzykiem (w tym do opracowania planu na wypadek potencjalnego cyberataku) – w zakresie obowiązków firmy mieści się zatem regularna ocena ryzyka. Nis2 nakłada zatem wymóg na firmę, jakim jest systematyczne identyfikowanie, analizowanie i ocenianie zagrożenia związanego z jego bezpieczeństwem cyfrowym

d) Zobowiązanie do wprowadzania zasad z zakresu zarządzania łańcuchami dostaw

e) Nakazanie ścisłej kooperacji poprzez odkrywanie nowych, skutecznych metod poprawiających bezpieczeństwo i dzielenie się nimi

Ad. 2. Kiedy wchodzi w życie

Analizowana w tym teksie dyrektywa NIS2 zostanie wdrożona dokładnie 17 października 2024 roku. Pamiętać należy, że pierwotnie vacatio legis tego aktu miało być zdecydowanie krótsze, jednakże na skutek niefortunnych zbiegów okoliczności, termin ten musiał ulec wydłużeniu i to pomimo tego, że owa dyrektywa stanowi dla Parlamentu Europejskiego, jak również państw członkowskich, jedną z ważniejszych dotychczas wdrażanych regulacji.

Ad. 3. Dla kogo jest obowiązkowa i w jakim zakresie

W pierwszym punkcie analizy został podany lapidarny opis struktury dyrektywy NIS2. Mowa była o rozróżnieniu dwóch rodzajów podmiotów:

a) Podmioty istotne

b) Podmioty ważne

Immanentną cechą tego podziału jest harmonizacja zagadnienia i dostosowanie nazewnictwa do sytuacji w jakiej jest on przytaczany – można zamiennie używać nazwy „Podmiot” lub „Sektor”. Z tego powodu można wskazać wyselekcjonowane elementy przypadające na wybrany zbiór.

Ad. do a) Do tego zbioru należą między innymi:

  • Opieka zdrowotna
  • Administracja publiczna
  • Infrastruktura rynku finansowego
  • Infrastruktura cyfrowa
  • Bankowość

a także

  • Energia
  • Transport
  • Ścieki
  • Zarządzanie usługami ICT
  • Dostawa i dystrybucja wody pitnej
  • Przestrzeń kosmiczna

Ad. do b) Mieści on w sobie podmioty/sektory o następujących nazwach

– Sektor poczty kurierskiej

– Produkcja i dystrybucja:

  • chemikaliów
  • żywności

– Dostawcy usług cyfrowych

– Sektor gospodarowania odpadami

– Sektor badań naukowych i rozwoju

– Produkcja komputerów i elektroniki

– Produkcja produktów medycznych

– Produkcja pojazdów samochodowych, przyczep i naczep oraz pozostałego sprzętu transportowego

wpis do Bazy Usług Rozwojowych

Wdrożenie ISO 27001

Ad. 4. Co to oznacza dla firm prywatnych

Dla przedsiębiorcy istotne są dwie bardzo istotne wiadomości płynące z faktu przyszłego wdrożenia tego aktu.

Pierwszą z nich jest termin zyskania przez niego mocy obowiązującej. Z racji tego, że do wdrożenia analizowanej w tym tekście dyrektywy na chwilę obecną pozostało około pięciu miesięcy, warto byłoby rozpocząć przygotowania, które obejmą przeprowadzenie audytu bezpieczeństwa informatycznego, identyfikację potencjalnych zagrożeń oraz dostosowanie strategii ochronnej do nowych przepisów.

Drugą istotną ważną wiadomością płynącą z tego tytułu dla przedsiębiorcy to realna perspektywa stanięcia przed koniecznością płacenia drakońskich kar za nie spełnienie wymogów określonych w nowych przepisach. Ich wysokości sięgać mogą nawet 10 mln euro lub 2% światowych obrotów dla podmiotów kluczowych. Sprawia to, że powinny się nią zainteresować zarządy firm objętych tymi przepisami. Owe kary mają na celu czysto teoretycznie zachęcenie firm do poważnego traktowania ochrony danych osobowych swoich klientów i pracowników. W praktyce mogą znacząco wpłynąć na stabilność finansową i operacyjną organizacji. Bynajmniej nie pozytywnie.

Sama dyrektywa porusza również zagadnienia z zakresu jej wdrożenia, proponując przy okazji konkretne metody ułatwiające realizację tego celu. W punkcie 52 preambuły unaoczniona zostaje sytuacja, w której mali i średni przedsiębiorcy pragnący korzystać z narzędzi z zakresu cyberbezpieczeństwa opartych na otwartym oprogramowaniu, stają przed koniecznością poniesienia znacznych kosztów. Bezpośrednio wynika to z artykułu 21 omawianej dyrektywy. Poza zapewnieniem przez państwo członkowskie, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, mówi również o wszystkie zagrożenia mające na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami obejmującymi szczegółową listę owych elementów stanowiących podstawę do wdrożenia omawianych środków zabezpieczających. Ustawodawca proponuje w takiej sytuacji redukcję zapotrzebowania na konkretne aplikacje lub narzędzia pozwalające skutecznie realizować działania o charakterze prewencyjne, zapobiegające cyberatakom.

Co się zaś tyczy samych procedur per se to dyrektywa w punkcie 111 preambuły przytacza przykłady procesów weryfikacyjnych.
Należą do nich:

  • kontrole ex ante –  przeprowadzane w momencie rejestracji
  • kontrole ex post – przeprowadzane po rejestracji

Wreszcie uwadze firm prywatnych nie powinno ujść spełnienie kryteriów związanych z wprowadzeniem dyrektywy NIS2. Komisja europejska może wydawać wytyczne mające na celu pomóc państwom członkowskim we wdrożeniu omawianych przepisów w zakresie:

  • stosowania
  • oceny proporcjonalności środków do zastosowania

Jeśli zaś chodzi normy, jakie zobligowani są spełnić przedsiębiorcy pragnący spełnić wymagania nakładane przez ustawodawcę, to można wymienić następujące kryteria:

  • określenie środków zarządzania ryzykiem w cyberbezpieczeństwie
  • określenie procedur wykrywania i zgłaszania incydentów
  • przewidywanie potencjalnych zdarzeń dla cyberbezpieczeństwa
  • podejmowanie inicjatyw na rzecz podnoszenia świadomości, szkoleń, ćwiczeń, umiejętności, budowania zdolności, norm i specyfikacji technicznych
  • wskazywanie podmiotów kluczowych i ważnych na podstawie

Co ważne, organem odpowiedzialnym za wdrażanie omawianej dyrektywy jest ten, który został ustanowiony przez państwo członkowskie. Ów organ odpowiada za cyberbezpieczeństwo oraz za zadania nadzorcze, szerzej opisane w rozdziale VII rozporządzenia. Organem zaś, którego celem jest udzielanie wskazówek dotyczących realizacji tego celu jest tzw. „Grupa Współpracy” 

Rzeczone organy zarządzające nadzorują wdrażanie dyrektywy NIS2 przez państwa, zastrzegając, że mogą one być pociągnięte do odpowiedzialności za naruszanie przez podmioty kluczowe i ważne art 21 omawianego aktu prawnego.

Z informacji bardziej szczególnych, choć nie mniej ważnych są szeroko omówione w artykule 33 traktowanej dyrektywy, same środki nadzoru. W ustępie pierwszym wspomnianego przepisu podane są jasno sprecyzowane wymagania, jakie środki te powinny spełniać.
Muszą być one:

  • skuteczne
  • proporcjonalne
  • odstraszające

W ustępie drugim tego samego artykułu wyczytać można, że w przypadku przeprowadzania audytów bezpieczeństwa zakres podmiotowy obejmować może nie tylko tzw. właściwe organy ale również niezależne instytucje. Dalsza część poruszanego ustępu precyzuje, ukierunkowane audyty bezpieczeństwa, o których mowa w akapicie pierwszym lit. b) (patrz zdanie wyżej), opierają się na oszacowaniach ryzyka przeprowadzonych przez właściwy organ lub badany podmiot bądź na innych dostępnych informacjach o ryzyku. Ponadto ustęp 6 analizowanego artykułu stanowi, że państwa członkowskie zapewnić mają by ich właściwe organy zgodnie z niniejszą dyrektywą współpracowały z odpowiednimi właściwymi organami zainteresowanego państwa członkowskiego zgodnie z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego o i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011. Szczególny nacisk położony jest w nim na to by właściwe organy informowały forum nadzoru gdy wykonują uprawnienia w zakresie nadzoru i egzekwowania przepisów, by zapewnić przestrzeganie (omawianej w tym tekście) dyrektywy przez podmiot ważny, wyznaczony jako kluczowy dostawca usług ICT będący osobą trzecią.

Na koniec wypada zaznaczyć iż państwa członkowskie, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii, zachęcają do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych z punktu widzenia bezpieczeństwa sieci i systemów informatycznych. Tak stanowi  art 25 ust 1 dyrektywy NIS2.

Podsumowując, dyrektywa NIS2 teoretycznie dotyczy każdego podmiotu gospodarczego (od mikroprzedsiębiorców do dużych), aczkolwiek istnieją kryteria zwalniające, niektóre z tych sektorów. Część z nich (dotycząca operatorów usług kluczowych) zawarta została w artykule 5 punkcie 2 dyrektywy Partlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
Wymienia on trzy kryteria:

  • podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej;
  • świadczenie tej usługi zależy od sieci i systemów informatycznych; oraz
  • incydent miałby istotny skutek zakłócający dla świadczenia tej usługi

W innym miejscu, dokładniej w punkcie 26 preambuły wyżej cytowanej dyrektywy mowa jest o znaczeniu zidentyfikowanego operatora usług, jakie powinny brać pod uwagę państwa członkowskie.
Punkt ten wymienia następujące elementy cechujące takiego oparatora:

  • Liczbę
  • Wielkość (np. pod względem udziału w rynku u lub wolumenu produkcji lub transportu, bez obowiązku podawania informacji, które mogłyby ujawnić, którzy operatorzy zostali zidentyfikowani)

W razie wątpliwości, wybrany podmiot powinien upewnić się czy rzeczonej dyrektywie nie podlega. Może to zrobić przeprowadzając krótki audyt weryfikacyjny. Gdyby okazało się, że ów podmiot podlega pod ten akt prawny, powinien on w pierwszej kolejności przeprowadzić audyt spełniający określone w niej wymogi.

Ad. 5. Co oznacza dla gmin

Zgodnie z dyrektywą NIS2 gminy powinny być kwalifikowane, jako podmiot o charakterze krytycznym oraz administracyjnym. Wynika to bezpośrednio z brzmienia podpunktu e) i f), punktu drugiego, artykułu drugiego rzeczonego aktu prawnego, dotyczącego zakresu podmiotowego, który stanowią, że:

e) podmiot ma charakter krytyczny ze względu na jego szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi lub dla innych współzależnych sektorów w państwie członkowskim;

f) podmiot jest podmiotem administracji publicznej: (i) na poziomie rządu centralnego, zdefiniowanym przez państwo członkowskie, zgodnie z prawem krajowym; lub (ii) na poziomie regionalnym, zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym, który zgodnie z oceną opartą na analizie ryzyka świadczy usługi, których zakłócenie mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą.

Jeśli chodzi o kompetencje to gmina, – jako wyżej scharakteryzowany podmiot regionalny – może brać udział we współpracy i wymianie informacji z Krajowym Zespółem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) oraz unijnymi centrami monitorowania bezpieczeństwa (SOC) w celu poprawy wspólnej świadomości sytuacyjnej pod kątem incydentów i cyberzagrożeń w całej Unii;. By zrozumieć w pełni, jak istotna jest to kompetencja, należałoby przytoczyć definicję legalną cyberzagrożenia, znajdującą się w art 2 pkt 8 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881z dnia 17 kwietnia 2019 r. aktu o cyberbezpieczeństwie. Definiuje on cyberzagrożenie jako: wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób; 

Wyżej przytoczone kompetencje gminy wynikają z art 5 pkt 5 ppkt a) i art 15 pkt 3 Dyrektywy NIS2.

Ad. 6. Co to są podmioty wrażliwe (i inne które są określone w NIS2)

W rozumieniu dyrektywy Parlamentu Europejskiego i Rady z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) –  są to podmioty o wrażliwym charakterze, wyłączone z zakresu rzeczonego aktu prawnego, którym  państwa członkowskie powinny starać się zapewnić osiągnięcie wysokiego poziomu cyberbezpieczeństwa. Co więcej, pojęcie tego podmiotu łączy się z definicją podatności, rozumianą przez ten akt prawny, jako – słabość, wrażliwość lub wadę produktów ICT lub usług ICT, które to cechy mogą zostać wykorzystane w wyniku cyberzagrożenia.

Dodaj komentarz