Wdrożenie NIS 2. Kto jest obowiązany?

.

Marek Doering

NIS 2 – co to jest i kogo dotyczy? W niniejszym artykule przybliżamy kolejną dyrektywę UE w zakresie cyberbezpieczeństwa.

NIS. Prawo w zakresie cyberbezpieczeństwa

NIS to dyrektywa Unii Europejskiej (UE) z 2016 roku. NIS jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa i nakłada na państwa członkowskie szereg obowiązków, obliguje państwa do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy.
Polska realizuje zapisy dyrektywy NIS przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa z 28 sierpnia 2018 roku (w skrócie UoKSC).
Dyrektywa ta nakłada na państwa członkowskie UE obowiązek ustanowienia krajowych ram regulacyjnych w zakresie bezpieczeństwa sieci i systemów informatycznych oraz określa wymagania w zakresie zapobiegania i reagowania na incydenty cybernetyczne.

Tutaj – jak prawidłowo wdrożyć Politykę Bezpieczeństwa Informacji (PBI) zgodnie z Ustawą o KSC.

NIS 2. Wdrożenie odpowiednich środków zabezpieczenia sieci i systemów informatycznych

W związku z tym NIS 2 nakłada obowiązek wdrożenia odpowiednich środków zabezpieczenia na podmioty z sektorów krytycznych, takie jak dostawcy usług telekomunikacyjnych, energetycznych, transportowych, mediów (wodociągi, gazownie), usług cyfrowych (serwerownie), opieki zdrowotnej (szpitale) i finansowych (banki, SKOK-i, Kasy).

Wdrożenie NIS 2 dotyczy także operatorów usług istotnych dla państwa (Operatorzy Podmiotów Systemowych – OPS), takich jak operatorzy sieci przesyłowych, operatorzy gazociągów, operatorzy systemów ciepłowniczych, operatorzy elektroenergetycznych systemów dystrybucyjnych, operatorzy magazynów podziemnych gazu, a także innych operatorów, których działalność jest kluczowa dla funkcjonowania państwa.
W skrócie NIS 2 dotyczy podmiotów z sektorów krytycznych oraz operatorów usług istotnych dla państwa, a także podmiotów z sektorów innych niż krytyczne, ale uznanych za istotne z punktu widzenia bezpieczeństwa sieci i systemów informatycznych.

Najważniejsze informacje o NIS 2

Dyrektywa NIS 2:

ustawa gwarantuje, że będą przestrzegane przez podmioty kluczowe obowiązki określone w dyrektywie. Organy właściwe, powołane do nadzoru nad systemem cyberbezpieczeństwa, otrzymają szereg instrumentów: środki nadzoru i środki egzekwowania przepisów. Wszystkie środki, zarówno te nakładane na podmioty kluczowe, jak i ważne, mają być skuteczne, proporcjonalne, odstraszające i nakładane stosownie do indywidualnego przypadku;
wprowadza możliwość nakładania kar na podmioty, które nie wywiązują się z nałożonych obowiązków. Wysokość kar będzie zależała od rodzaju podmiotu. I tak:
- w przypadku tzw. podmiotów z sektorów kluczowych (lista poniżej) będą to kary w wysokości do 10 mln EUR lub 2% łącznego światowego obrotu w poprzednim roku,
- natomiast dla tzw. podmiotów z sektorów ważnych (lista poniżej) do 7 mln EUR lub 1,4% łącznego światowego obrotu w poprzednim roku, przy czym w obu przypadkach, zastosowanie ma kwota wyższa;
nakłada większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach,
testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania;
wprowadza obowiązek raportowania incydentów do CSIRT (CSIRT NASK, CSIRT GOV i CSIRT MON);
wprowadza odpowiedzialność dla kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie;
przeprowadzanie raz na dwa lata audytów własnych stosowanych zabezpieczeń;
Polska ma czas do października 2024 roku na aktualizację ustawy UoKSC.

NIS 2 dla usprawnienia współpracy międzynarodowej ustanawia również Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni, która będzie m.in. wspierała koordynację zarządzania incydentami na dużą skalę na poziomie UE.

NIS 2. Kogo dotyczy?

Poniżej znajduje się lista sektorów. Podmioty w nich działające są zobowiązane do wdrożenia NIS 2.

Załącznik I – sektory (podmioty) kluczowe

Energetyka
Transport
Bankowość
Infrastruktura rynków finansowych
Opieka zdrowotna
Woda pitna
Ścieki
Zarządzanie usługami ICT (między przedsiębiorstwami)
- dostawcy usług zarządzanych
- dostawcy usług zarządzanych w zakresie bezpieczeństwa
Podmioty administracji publicznej,
Przestrzeń kosmiczna
Infrastruktura cyfrowa
- dostawcy punktu wymiany ruchu internetowego
- dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw
- rejestry nazw TLD
- dostawcy usług chmurowych
- dostawcy usług ośrodka przetwarzania danych
- dostawcy sieci dostarczania treści
- dostawcy usług zaufania
- dostawcy publicznych sieci łączności elektronicznej
- dostawcy publicznie dostępnych usług łączności elektronicznej

Załącznik II – sektory (podmioty) ważne

Usługi pocztowe i kurierskie
Gospodarowanie odpadami
Dostawcy usług cyfrowych
- dostawcy internetowych platform handlowych
- dostawcy wyszukiwarek internetowych
- dostawcy platform usług sieci społecznościowych
Badania naukowe
Produkcja, wytwarzanie i dystrybucja chemikaliów
Produkcja, przetwarzanie i dystrybucja żywności
Produkcja
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- komputerów, wyrobów elektronicznych i optycznych
- produkcja urządzeń elektrycznych
- produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
- produkcja pojazdów samochodowych, przyczep i naczep
- produkcja pozostałego sprzętu transportowego