Nowe przepisy z zakresu cyberbezpieczeństwa – DORA i NIS2

W listopadzie 2022 r. Rada Unii Europejskiej przyjęła nowe przepisy w obszarze cyberbezpieczeństwa: DORA i NIS2.

1. DORA – istotne dla instytucji finansowych

Unijne rozporządzenie zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości w sektorze finansowym – Projekt Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („DORA”).

Rozporządzenie zacznie obowiązywać po upływie 24 miesięcy od jego publikacji, czyli od 27 grudnia 2024 roku.

Kogo obejmie DORA?

  • Instytucje finansowe, w tym m.in.:
    • instytucje kredytowe i płatnicze;
    • dostawców świadczących usługę dostępu do informacji o rachunku;
    • instytucje pieniądza elektronicznego;
    • dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia w sprawie rynków kryptoaktywów;
    • emitentów tokenów powiązanych z aktywami.
  • Zarządzających alternatywnymi funduszami inwestycyjnymi;
  • Spółki zarządzające[1];
  • Zewnętrznych dostawców usług technologii informacyjno-telekomunikacyjnych (“information and communication technologies” – ICT)[2].

Należy przy tym zaznaczyć, że dokładne definicje powyższych podmiotów znajdują się w DORA oraz powiązanych aktach prawnych, do których odniesienia znajdują się w DORA, tj. MICA[3].

Zgodnie z DORA wyżej wymienione podmioty powinny:

  • wprowadzić ramowe zasady zarządzania ryzkiem ICT;
  • używać i utrzymywać zaktualizowane systemy ICT;
  • utworzyć i wdrożyć polityki i procedury związane z bezpieczeństwem ICT.
  • utworzyć i wdrożyć procedury, które pozwolą zarządzać incydentami związanymi z ICT;
  • zgłaszać poważne incydenty związane z ICT do odpowiednich organów w czasie uzależnionym od sytuacji;
  • przeprowadzać regularne testy operacyjnej odporności cyfrowej.

Niedopełnienie obowiązków skutkować może użyciem przez organy nadzorcze środków zapobiegawczych (zakaz prowadzenia działalności, publiczne ogłoszenie sankcji) i nałożeniem administracyjnych kar pieniężnych.

Z uwagi na okoliczność, że DORA jest rozporządzeniem unijnym, będzie stosowana bezpośrednio we wszystkich państwach UE.

 

2. NIS2 – objęcie regulacją cyberbezpieczeństwa nowych sektorów gospodarki

Rada Unii Europejskiej przyjęła także Projekt Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (NIS2).

Po wejściu dyrektywy w życie, państwa członkowskie będą miały 21 miesięcy na jej wprowadzenie do krajowych porządków prawnych – termin upływa 27 września 2024 roku.

Kogo obejmie NIS2 (Podmioty NIS2)?

  • Podmioty kluczowe z następujących sektorów:
    • energetyka;
    • transport;
    • bankowość;
    • infrastruktura rynków finansowych;
    • opieka zdrowotna;
    • woda pitna;
    • ścieki;
    • infrastruktura cyfrowa;
    • zarządzanie usługami ICT;
    • administracja publiczna;
    • przestrzeń kosmiczna.
  • Podmioty ważne z następujących sektorów:
    • usługi pocztowe i kurierskie;
    • gospodarowanie odpadami;
    • produkcja, wytwarzanie i dystrybucja chemikaliów;
    • produkcja, przetwarzanie i dystrybucja żywności;
    • produkcja;
    • usługi cyfrowe;
    • badania naukowe.

Najważniejsze postanowienia NIS2:

  • wprowadzono obowiązki organów zarządzających Podmiotów NIS2:
    • zatwierdzanie środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa;
    • nadzorowanie wdrażania środków zarządzania ryzykiem;
    • uczestnictwo w regularnych szkoleniach dotyczących rozumienia i oceny ryzyka związanego z cyberbezpieczeństwem;
    • ponoszenie odpowiedzialności za nieprzestrzeganie postanowień dyrektywy;
  • wprowadzono dla Podmiotów NIS2 obowiązek wprowadzenia środków zarządzania ryzykiem w cyberprzestrzeni:
    • analiza ryzyka i polityka bezpieczeństwa systemów informacyjnych;
    • procedura postępowania w przypadku incydentów (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);
    • ciągłość działania i zarządzanie kryzysowe;
    • bezpieczeństwo łańcucha dostaw, w tym bezpieczeństwo stosunków między Podmiotem NIS2 a jego bezpośrednimi dostawcami lub usługodawcami;
    • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich identyfikacja;
    • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
    • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
    • polityki i procedury stosowania kryptografii i, w stosownych przypadkach szyfrowania;
    • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
    • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych;
  • nałożenie na Podmioty NIS2 obowiązku zgłaszania istotnych incydentów właściwym organom w ciągu 24 godzin od uzyskania informacji o incydentach istotnych.

Podmioty NIS2 naruszające obowiązki wynikające z NIS2 będą podlegały administracyjnym karom pieniężnym w wysokości do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. NIS2 jako dyrektywa pozostawia organom krajowym swobodę wyboru formy i środków jej wdrożenia do krajowego systemu prawnego (nie musi być stosowana bezpośrednio).

Aby zapewnić zgodność z nowoprzyjętymi przepisami po ich wejściu w życie, podmioty, które zostaną objęte DORA i NIS2 powinny:

  1. przygotować odpowiednie polityki i procedury odpowiadające wymogom wynikającym z tych aktów prawnych;
  2. egzekwować ich przestrzeganie;
  3. wdrożyć odpowiednie programy szkoleniowe m.in. dla pracowników.

 

Jeżeli działalność Państwa organizacji objęta jest powyższymi aktami prawnymi albo chcieliby Państwo zweryfikować ewentualność takiej kwalifikacji, zapraszamy do kontaktu.

[1] „spółka zarządzająca” oznacza spółkę zarządzającą w rozumieniu art. 2 ust. 1 lit. b) dyrektywy 2009/65/WE;

[2] „zewnętrzny dostawca usług ICT” oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług w chmurze, oprogramowania, usług analizy danych, ośrodków przetwarzania danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw, które uzyskały zezwolenie na mocy prawa Unii i świadczą usługi łączności elektronicznej, o których mowa w art. 2 pkt 4 of dyrektywy Parlamentu Europejskiego i Rady (UE), 2018/1972

[3] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie rynków kryptoaktywów i zmieniające dyrektywę (UE) 2019/1937

Wróć do

Bazy wiedzyprzekierowanie