BezpieczeństwoCyberbezpieczeństwo

Sprawdź czy Ciebie to dotyczy. NIS2 w krajowych przepisach.

Opublikowano Martyna Wajs

Autor: Marcin Zemła – Specjalista ds. cyberbezpieczeństwa

 

Wprowadzenie

Dyrektywa NIS2 (Network and Information Security) jest nowym europejskim aktem prawnym, który ma na celu zwiększenie poziomu bezpieczeństwa sieci i informacji w państwach członkowskich Unii Europejskiej. W Polsce implementacja tej dyrektywy stanowi krok milowy w walce z cyberzagrożeniami, które stają się coraz bardziej złożone i powszechne.

 

Czym jest NIS2

Dyrektywa NIS2 została przyjęta przez Parlament Europejski w grudniu 2020 roku jako odpowiedź na rosnące wyzwania związane z cyberbezpieczeństwem. Jej celem jest ujednolicenie i wzmocnienie poziomu ochrony systemów informacyjnych oraz sieci w całej Unii Europejskiej. NIS2 zastępuje wcześniejszą dyrektywę NIS z 2016 roku, rozszerzając zakres podmiotów objętych regulacjami oraz wprowadzając bardziej rygorystyczne wymogi dotyczące raportowania incydentów i zarządzania ryzykiem.

 

Kluczowe Założenia NIS2

  1. Szerszy zakres podmiotów: NIS2 obejmuje więcej sektorów i podmiotów, w tym dostawców usług chmurowych, dostawców usług cyfrowych oraz kluczowych operatorów infrastruktury krytycznej, takich jak sektor zdrowia, energetyki, finansów czy transportu.
  2. Wzmocnienie współpracy: Dyrektywa promuje większą współpracę między państwami członkowskimi w zakresie wymiany informacji i wspólnego reagowania na incydenty.
  3. Zwiększone wymogi dotyczące raportowania: Organizacje muszą zgłaszać incydenty bezpieczeństwa w określonym czasie, co ma na celu szybszą identyfikację i neutralizację zagrożeń.
  4. Ocena ryzyka i zarządzanie kryzysowe: Wprowadzenie obowiązkowych ocen ryzyka oraz planów zarządzania kryzysowego, prowadzi do zwiększenia odporności organizacji na cyberzagrożenia.

 

Wdrożenie NIS2 w Polsce

Polska, jako państwo członkowskie UE, zobowiązana jest do implementacji dyrektywy NIS2 w krajowym porządku prawnym. Proces ten wymaga współpracy wielu instytucji, w tym Ministerstwa Cyfryzacji, Agencji Bezpieczeństwa Wewnętrznego oraz sektora prywatnego.

W tempie ekspresowym trwają prace nad nowelizacją Ustawy o Krajowym Systemie Bezpieczeństwa. 

Projekt nowelizacji jest dostępny na stronach BIP Ministerstwa Cyfryzacji

 

Kogo dotyczy?

Ministerstwo szacuje, że około 39 tys. podmiotów na terenie kraju. Z założenia są to podmioty, które zatrudniają powyżej 50 osób i posiadają roczny obrót powyżej 10 mln euro. Ustawa posiada dwie tabele jako załączniki wskazujące sektory dla tzw. podmiotów kluczowych i ważnych. To m.in. 

Podmioty kluczowe

  • wydobycie kopalin
  • energia elektryczna
  • ciepło
  • gaz
  • ropa i paliwa
  • dostawy i usługi dla sektora energii
  • jednostki nadzorowane i podległe przez jednostki z sektora energii
  • wodór
  • transport lotniczy
  • transport kolejowy
  • transport wodny
  • transport drogowy
  • bankowość i infrastruktura rynków finansowych
  • ochrona zdrowia
  • zaopatrzenie w wodę pitną i jej dystrybucja
  • ścieki
  • infrastruktura cyfrowa  – dostawcy IXP
  • dostawcy usług chmurowych
  • podmioty świadczące usługi rejestracji nazw domen
  • dostawcy usług DNS
  • dostawcy sieci dostarczania treści
  • dostawcy usług ośrodka przetwarzania danych
  • dostawcy usług zaufania
  • komunikacja elektroniczna
  • dostawcy usług ICT
  • podmioty publiczne, w tym również spółki ze 100% udziałem skarbu Państwa lub Gmin, Spółki prawa Handlowego wykonujące zadania z zakresu użyteczności publicznej (ustawa o gospodarce komunalnej)
  • przestrzeń kosmiczna
  • produkcja i dystrybucja chemii
  • produkcja, przetwarzanie i dystrybucja żywności
  • produkcja wyrobów medycznych
  • produkcja komputerów wyrobów elektronicznych i optycznych
  • produkcja urządzeń elektrycznych
  • produkcja maszyn i urządzeń
  • produkcja pojazdów
  • produkcja pozostałego sprzętu transportowego

Podmioty ważne

  • usługi pocztowe
  • gospodarka odpadami, w tym zbieranie odpadów, transport i przetwarzanie
  • działania w charakterze sprzedawcy odpadów lub pośrednika 
  • dostawcy internetowych platform handlowych
  • dostawcy usług sieci społecznościowych
  • badania naukowe

Są jednak od tego rozliczne wyjątki. 

Niezależnie od wielkości podmiotami ważnymi lub kluczowymi będą:

  • podmioty komunikacji elektronicznej
  • podmioty publiczne
  • dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa
  • dostawcy usług DNS
  • podmioty wyznaczone przez Rząd RP jako kluczowe

 

Jakie obowiązki czekają te podmioty? 

W pierwszej kolejności do dwóch miesięcy po wejściu ustawy w życie podmioty muszą się same zgłosić. To ważne ponieważ jeśli się klasyfikujecie a nie będzie zgłoszenia w terminie tych dwóch miesięcy to będzie za to kara. 

Następnie:

  • wdrożenie systemu zarządzania ryzykiem
  • zarządzanie łańcuchem dostaw
  • zarządzanie incydentami
  • wdrożenie proporcjonalnych, technicznych i organizacyjnych środków bezpieczeństwa 
  • utrzymanie i bezpieczną eksploatację systemu informacyjnego (nie mylić z systemem informatycznym)
  • objęcie systemu informacyjnego monitoringiem w trybie ciągłym
  • bezpieczeństwo fizyczne i środowiskowe
  • polityki i procedury oceny skuteczności środków technicznych i organizacyjnych (audyty i testy penetracyjne, oraz testowanie zabezpieczeń fizycznych)
  • wdrażanie i dokumentowanie planów działania zapewniających ciągłe i niezakłócone świadczenie usługi
  • polityki stosowania kryptografii – wprowadzenie zasad edukacji
  • wprowadzenie zasad cyberhigieny
  • stosowanie środków ograniczających wpływ incydentów
  • stosowanie bezpiecznych środków komunikacji elektronicznej w ramach Krajowego Systemu Cyberbezpieczeństwa
  • prowadzenie dokumentacji normatywnej i operacyjnej zgodnie z wytycznymi
  • przeprowadzanie niezależnych audytów bezpieczeństwa raz na dwa lata
  • przesyłanie raportów z audytów do nadzorujących CSIRTÓW
  • zarządzanie podatnościami systemów
  • coroczne szkolenie szefostwa i personelu z zakresu objętego UKSC

Ogólnie z wyjątkiem podłączenia się do systemu komunikacyjnego S46, umożliwiającego wymianę informacji o incydentach, budowanie raportów, mamy do czynienia z wdrożeniem normy ISO 27001 w pełnej krasie.  

 

Co to oznacza, że jesteśmy podmiotem Krajowego Systemu Cyberbezpieczeństwa?

W założeniach prócz oczywistych kontroli, o których będziemy jeszcze pisać m.in. jak one wyglądają, czeka nas raportowanie incydentów, audytów, oraz będziemy skanowani przez sieć publiczną w poszukiwaniu luk bezpieczeństwa. Podmioty kluczowe dodatkowo będą podlegały pod tzw. polecenia zabezpieczenia, o tym też w osobnym artykule. Dochodzą nam zatem dodatkowe obowiązki oraz instytucje, które nabywają uprawnień kontrolnych. 

W mojej opinii liczba podmiotów jest niedoszacowana. Dodać należy, że dbałość o bezpieczeństwo łańcucha dostaw w zapisach ustawowych może sprowadzić się do określania warunków w zamówieniach gwarantujących bezpieczeństwo w świadczeniu usług czy dostaw, co oznaczać może, że podmioty wchodzące w ustawę nie będą zawierały umów z podmiotami nie spełniającymi zasad bezpieczeństwa. Zatem ta ustawa powinna przykuć mimo wszystko uwagę większości rynku. 

 

Dotkliwe kary 

Kary za braki są naprawdę dotkliwe i mogą sięgać do 10 mln euro dla podmiotów kluczowych i 7 mln euro dla podmiotów ważnych. Oczywiście zapewne będą nakładane proporcjonalnie, gdyż ustawa zakłada widełki. Za co możemy być karani? Przede wszystkim za niewypełnianie obowiązków, ale również za brak terminowości. Ciekawostką w projekcie ustawy jest karanie również najwyższego kierownictwa niezależnie, do wysokości 600% wynagrodzenia co zapewne ma być czynnikiem motywującym do rzeczywistego wdrożenia ustawy w podmiocie. Podmioty karane są również za opóźnienia w wykonywaniu obowiązków i przekroczenia ustawowych terminów. Za szczególnie niebezpieczne zaniedbania dla Państwa polskiego możemy spodziewać się kary do 100 mln zł. 

 

Jak zareagował rynek?

Dwojako. Jedni zacierają już ręce czując interes, inni starają się protestować i wpływać na Ministerstwo Cyfryzacji łagodząc niektóre zapisy projektu ustawy. W przypadku tych pierwszych zalecamy ostrożność. Pojawiło się bardzo dużo podmiotów sprzedających kilkugodzinne szkolenia oraz dokumentacje, lub oprogramowanie, którego na dzień dzisiejszy nie macie świadomości czy w ogóle go potrzebujecie. Nie zapewni Wam to bezpieczeństwa i nie sprawi, że będziecie przygotowani do wdrożenia wymagań tego projektu. Tym razem nie chodzi o to abyśmy posiadali dokumenty tylko o dowody, że naprawdę to realizujemy. Szablony dokumentów nie są dostosowane pod nasze działalności, a to oznacza, że są niewykonalne. Zdążyliśmy już ocenić kilka takich przypadków dlatego Państwa ostrzegamy. 

Jak wyjdzie lobbowanie złagodzenia przepisów zobaczymy w najbliższym czasie. Przedsiębiorcy przez Izby i Stowarzyszenia starają się złagodzić niewątpliwie spore obciążenie finansowe wdrożenia Ustawy. Ministerstwo posiada jednak żelazne argumenty w postaci wojny cybernetycznej na terenie naszego kraju i kinetycznej tuż za naszą granicą.  Przypominamy również, że sama ustawa o KSC to implementacja dyrektywy unijnej, zatem w założeniach Polska musi ją wypełnić i zaimplementować do 17 października 2024 roku w przeciwnym wypadku czekają Polskę kary finansowe, które niewątpliwie odbija się na kieszeniach wszystkich Polaków.   

 

Podsumowanie

Dyrektywa NIS2 stanowi istotny krok naprzód w dziedzinie cyberbezpieczeństwa. Jej implementacja w Polsce nie tylko zwiększy odporność na cyberzagrożenia, ale również przyczyni się do budowy bezpieczniejszego i bardziej zaufanego środowiska cyfrowego. Wspólne działania instytucji publicznych i prywatnych oraz edukacja w zakresie cyberbezpieczeństwa będą kluczowe dla skutecznego wdrożenia nowych przepisów. Obecnie rozmowy starają się odpowiedzieć na pytanie ile nas to będzie kosztowało?