Dyrektywa NIS - nowe wymogi dotyczące cyberbezpieczeństwa dla firm z kluczowych sektorów gospodarki

Wynika to z przepisów dyrektywy NIS (Network and Information Systems Directive, dyrektywa Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii).

Obowiązki przewidziane w Dyrektywie NIS

Dyrektywa NIS przewiduje obowiązek wdrożenia przez państwa członkowskie przepisów, które pozwolą na zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej, tj. w szczególności:

• ustanowienie procedur i obowiązku zgłaszania incydentów dotyczących cyberbezpieczeństwa dla przedsiębiorców z sektorów kluczowych,
• ustanowienie szczególnych wymogów dotyczących zapewniania bezpieczeństwa przez przedsiębiorców z sektorów kluczowych,
• przyjęcie na poziomie krajowym strategii w zakresie bezpieczeństwa sieci i systemów IT,
• utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT, Computer Security Incident Response Teams),
• stworzenie specjalnej grupy zapewniającej strategiczną współpracę oraz wymianę informacji, w szczególności biorąc pod uwagę, że incydenty związane z cyberbezpieczeństwem często dotyczą wielu państw równocześnie.

Kogo dotyczą obowiązki w zakresie cyberbezpieczeństwa

Adresatami nowych przepisów będą dwie grupy podmiotów:

• tzw. „operatorzy usług kluczowych”

Zaliczają się do nich przedsiębiorstwa z sektorów takich jak bankowość, infrastruktura rynków finansowych (wśród tych przedsiębiorców znajdują się operatorzy systemów obrotu w rozumieniu MiFID II oraz kontrahenci centralni w rozumieniu EMIR), infrastruktura cyfrowa, energetyka, transport, czy ochrona zdrowia.

Państwa członkowskie są zobowiązane do przygotowania we własnym zakresie list operatorów kluczowych z powyższych sektorów, biorąc pod uwagę szereg czynników takich jak np. znaczenie danego przedsiębiorcy dla działalności sektora, czy świadczenia kluczowych usług, jego udział w rynku, powiązanie z innymi sektorami kluczowymi lub zależność świadczenia danej usługi od systemów informatycznych.

• dostawcy usług cyfrowych

Obowiązki dotyczące zapewnienia odpowiedniego poziomu bezpieczeństwa oraz zgłaszania incydentów mających znaczenie dla cyberbezpieczeństwa dotyczyć będą również niektórych dostawców usług cyfrowych, a konkretnie: internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych. Wymogi przewidziane w NIS nie powinny dotyczyć mikro i małych przedsiębiorców.

Ramy prawne dla cyberbezpieczeństwa w Polsce

Dyrektywa NIS ma charakter ogólny i zobowiązuje państwa członkowskie do wdrożenia odpowiednich szczegółowych mechanizmów na poziomie krajowym. Dlatego też w rezultacie może okazać się, że sposób implementacji do porządków krajowych będzie zróżnicowany, a na przedsiębiorcach działających w różnych państwach będą ciążyć odmienne obowiązki.

W sektorach już dziś silnie regulowanych, takich jak sektor finansowy, gdzie istnieją regulacje dotyczące bezpieczeństwa sieci i systemów IT, różnice mogą być mniej znaczące. Niewątpliwie jednak osiągnięcie celu, jakim jest wyższy poziom cyberbezpieczeństwa w sektorach krytycznych, zależeć będzie w dużej mierze od jakości aktów prawa krajowego oraz wskazania konkretnych środków bezpieczeństwa, klasyfikacji incydentów oraz kształtu nadzoru.

W resorcie cyfryzacji trwają prace nad ustawą o krajowym systemie cyberbezpieczeństwa, która ma stanowić m.in. implementację Dyrektywy NIS. Powołano również Narodowe Centrum Cyberbezpieczeństwa, które ma być odpowiedzialne za cyberbezpieczeństwo w Polsce i pracować w trybie ciągłym. Ma ono pełnić funkcję centrum wczesnego ostrzegania i szybkiego reagowania w razie ewentualnych ataków, a także koordynowania działań i wymiany informacji.