Dyrektywa NIS2
W 2023 r. weszła w życie Dyrektywa NIS 2, która zmieni kształt cyberbezpieczeństwa w Państwach Członkowskich Unii Europejskiej. Dyrektywa ma na celu dostosowanie w całej Unii Europejskiej standardów bezpieczeństwa informatycznego do nowych zagrożeń cyfrowych. Pełna nazwa NIS2 brzmi „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148”.
Nowe przepisy mają znaleźć zastosowanie we wszystkich państwach członkowskich Unii Europejskiej już od 18 października 2024 r. Należy jednak zaznaczyć, że na ten moment projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wdrażający dyrektywę NIS 2 nie został jeszcze uchwalony (według zapowiedzi Ministerstwa Cyfryzacji przepisy mają wejść w życie w pierwszym kwartale 2025r.).
Nowa dyrektywa NIS2 zmienia dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, dzieląc je na podmioty kluczowe i podmioty ważne. WAŻNE! To na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz usługi świadczone w sektorze/sektorach objętych dyrektywą NIS2 sprawiają, że podlega dyrektywie NIS2. Wniosek o wpis do właściwego rejestru składany ma być pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.
Sektory kluczowe obejmują:
- energetykę,
- transport,
- bankowość,
- infrastrukturę rynków finansowych,
- opiekę zdrowotną,
- zaopatrzenie w wodę pitną,
- ścieki,
- infrastrukturę cyfrową,
- zarządzanie usługami ICT,
- administrację publiczną,
- przestrzeń kosmiczną.
Sektory ważne obejmują:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcję, przetwarzanie i dystrybucję chemikaliów,
- produkcję, przetwarzanie i dystrybucję żywności,
- przemysł produkcyjny,
- usługi cyfrowe,
- badania naukowe
Podmioty objęte Dyrektywą NIS 2 mają obowiązek zapewnienia: –
- polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
- obsługi incydentu;
- ciągłości działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
- bezpieczeństwa łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie; – podstawowych praktyk cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
- polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
- bezpieczeństwa zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Niewywiązanie się przez odpowiednie podmioty z obowiązków wynikających z Dyrektywy NIS 2 będzie skutkować nałożeniem sankcji finansowych. Kary te mogą wynosić:
- w przypadku podmiotów z sektorów kluczowych – do 10 mln EUR lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa,
- w przypadku podmiotów z sektorów ważnych – do 7 mln EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa
Ważne! Karze pieniężnej może także podlegać kierownik podmiotu kluczowego lub podmiotu ważnego za niedokonanie obowiązków wynikających z ustawy.
