Wraz ze wzrostem skali i złożoności cyberzagrożeń, prawo Unii Europejskiej podlega systematycznej aktualizacji w celu zapewnienia adekwatnych narzędzi prawnych do przeciwdziałania ryzykom w sferze cyfrowej. Jednym z najważniejszych aktów prawnych w tym zakresie jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., znana powszechnie jako dyrektywa NIS2, która zastępuje dotychczas obowiązującą dyrektywę NIS (2016/1148).
Dyrektywa NIS2 miała zostać implementowana do krajowych porządków prawnych państw członkowskich do dnia 17 października 2024 r. Choć Polska nie zakończyła jeszcze procesu legislacyjnego, należy się spodziewać, że przepisy wejdą w życie najpóźniej w II kwartale 2025 roku, w drodze nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Rozszerzenie zakresu podmiotowego
NIS2 istotnie rozszerza krąg podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Poza operatorami usług kluczowych, obowiązki będą dotyczyć również tzw. podmiotów ważnych, w tym szeregu prywatnych przedsiębiorstw, które dotychczas nie były objęte podobnym reżimem.
Do branż objętych regulacją należą m.in.:
- energetyka, transport, gospodarka wodna,
- ochrona zdrowia, infrastruktura cyfrowa, usługi pocztowe,
- produkcja i dystrybucja żywności,
- gospodarka odpadami, przemysł chemiczny i farmaceutyczny,
- dostawcy usług IT, usług zarządzanych, czy też operatorzy centrów danych.
Kryterium objęcia regulacją nie zależy już wyłącznie od rodzaju działalności, ale także od skali prowadzonej działalności oraz liczby zatrudnionych (co najmniej 50 osób) lub wysokości rocznego obrotu/przychodów (co najmniej 10 mln euro).
Zakres obowiązków nałożonych na przedsiębiorców
Dyrektywa nakłada na przedsiębiorców szereg obowiązków o charakterze organizacyjnym i technicznym. Należą do nich przede wszystkim:
- Zarządzanie ryzykiem
NIS2 nakazuje wdrożenie mechanizmów pozwalających na stałą analizę i minimalizację zagrożeń w sferze IT. Oznacza to:
– prowadzenie regularnych ocen ryzyka, uwzględniających krytyczność systemów i usług,
– dokumentowanie procedur reagowania na wykryte słabości,
– utrzymanie planów ciągłości działania (ang. Business Continuity Plan) i przywracania po awarii (ang. Disaster Recovery Plan).
W praktyce firmy będą musiały korzystać z zaawansowanych narzędzi do monitorowania sieci (SIEM), segmentować ruch wewnątrz infrastruktury oraz zabezpieczać transmisję i składowanie danych przy pomocy szyfrowania i uwierzytelniania wieloskładnikowego.
- Zgłaszanie incydentów
Podmioty objęte dyrektywą są zobowiązane do szybkiego powiadamiania organów odpowiedzialnych za cyberbezpieczeństwo (np. CSIRT). Cały proces składa się z trzech etapów:
– wstępne zgłoszenie w ciągu 24 godzin od wykrycia zdarzenia,
– uzupełniający raport w ciągu 72 godzin,
– pełna analiza przyczyn i skutków dostarczona do miesiąca.
Przedsiębiorstwo musi zorganizować strukturę zespołu reagowania na incydenty, mającego zarówno kompetencje techniczne, jak i uprawnienia do współpracy z zarządem i komunikacji zewnętrznej.
- Audyt i dokumentacja
NIS2 wymaga, aby każdy proces i środek bezpieczeństwa był rutynowo weryfikowany poprzez wewnętrzne audyty. Wszystkie decyzje i działania – od aktualizacji oprogramowania po przydział uprawnień – muszą być dokładnie opisane w formalnych rejestrach. Taka transparentność umożliwia organom nadzorczym szybkie sprawdzenie zgodności i ocenę skuteczności wprowadzonych mechanizmów.
- Szkolenia i świadomość pracowników
Dyrektywa podkreśla, że to ludzie stanowią pierwszą linię obrony. Konieczne jest:
– regularne szkolenia pracowników w zakresie rozpoznawania prób phishingu, zasad bezpiecznego korzystania z haseł i procedur zgłaszania nieprawidłowości,
– stworzenie jasnych kanałów komunikacji incydentów wewnątrz organizacji,
– budowanie kultury, w której każdy czuje odpowiedzialność za ochronę informacji.
- Bezpieczeństwo łańcucha dostaw
Przedsiębiorstwa odpowiadają za to, by dostawcy i partnerzy również spełniali standardy NIS2. W umowach powinny znaleźć się zapisy o obowiązku raportowania incydentów oraz o stosowaniu minimalnych środków bezpieczeństwa. Regularna weryfikacja i audyty dostawców pomagają uniknąć sytuacji, w której słabo zabezpieczony partner stanie się furtką dla atakujących.
Odpowiedzialność i sankcje
Dyrektywa NIS2 przewiduje szczególną odpowiedzialność organów zarządczych przedsiębiorstwa za zapewnienie zgodności z nowymi wymogami w zakresie cyberbezpieczeństwa. W przypadku niewyznaczenia dedykowanego podmiotu odpowiedzialnego za realizację obowiązków wynikających z dyrektywy, odpowiedzialność ta w pełni spoczywa na całym składzie zarządu. Co istotne, regulacje wyraźnie wykluczają możliwość delegowania tej odpowiedzialności na niższe szczeble struktury organizacyjnej – np. wyłącznie na dział IT – bez utraty odpowiedzialności po stronie kierownictwa strategicznego
W przypadku naruszenia obowiązków mogą zostać nałożone sankcje administracyjne w wysokości do 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która z wartości jest wyższa. Dodatkowo możliwe będą decyzje nakazujące natychmiastowe usunięcie naruszeń, a w szczególnych przypadkach – czasowy zakaz pełnienia funkcji przez osoby zarządzające.
Implementacja NIS2 to krok milowy w budowaniu odporności cyfrowej polskich przedsiębiorstw. Pomimo że wiąże się z określonymi kosztami oraz obowiązkami, skuteczne wdrożenie tych przepisów powinno być traktowane jako inwestycja w stabilność operacyjną i zaufanie klientów. W świetle zaostrzających się wymagań regulatorów oraz eskalujących zagrożeń cybernetycznych, brak działań w tym zakresie może skutkować nie tylko sankcjami finansowymi, ale także istotnym uszczerbkiem dla reputacji firmy.
W przypadku zainteresowania tematem przedstawionym w artykule, prosimy o kontakt na: kancelaria@cddlegal.pl
