Nowe przepisy z zakresu cyberbezpieczeństwa – DORA i NIS2

W listopadzie 2022 r. Rada Unii Europejskiej przyjęła nowe przepisy w obszarze cyberbezpieczeństwa: DORA i NIS2.

1. DORA – istotne dla instytucji finansowych

Unijne rozporządzenie zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości w sektorze finansowym – Projekt Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („DORA”).

Rozporządzenie zacznie obowiązywać po upływie 24 miesięcy od jego publikacji, czyli od 27 grudnia 2024 roku.

Kogo obejmie DORA?

• Instytucje finansowe, w tym m.in.:
  • instytucje kredytowe i płatnicze;
  • dostawców świadczących usługę dostępu do informacji o rachunku;
  • instytucje pieniądza elektronicznego;
  • dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia w sprawie rynków kryptoaktywów;
  • emitentów tokenów powiązanych z aktywami.
• Zarządzających alternatywnymi funduszami inwestycyjnymi;
• Spółki zarządzające[1];
• Zewnętrznych dostawców usług technologii informacyjno-telekomunikacyjnych (“information and communication technologies” – ICT)[2].

Należy przy tym zaznaczyć, że dokładne definicje powyższych podmiotów znajdują się w DORA oraz powiązanych aktach prawnych, do których odniesienia znajdują się w DORA, tj. MICA[3].

Zgodnie z DORA wyżej wymienione podmioty powinny:

• wprowadzić ramowe zasady zarządzania ryzkiem ICT;
• używać i utrzymywać zaktualizowane systemy ICT;
• utworzyć i wdrożyć polityki i procedury związane z bezpieczeństwem ICT.
• utworzyć i wdrożyć procedury, które pozwolą zarządzać incydentami związanymi z ICT;
• zgłaszać poważne incydenty związane z ICT do odpowiednich organów w czasie uzależnionym od sytuacji;
• przeprowadzać regularne testy operacyjnej odporności cyfrowej.

Niedopełnienie obowiązków skutkować może użyciem przez organy nadzorcze środków zapobiegawczych (zakaz prowadzenia działalności, publiczne ogłoszenie sankcji) i nałożeniem administracyjnych kar pieniężnych.

Z uwagi na okoliczność, że DORA jest rozporządzeniem unijnym, będzie stosowana bezpośrednio we wszystkich państwach UE.

2. NIS2 – objęcie regulacją cyberbezpieczeństwa nowych sektorów gospodarki

Rada Unii Europejskiej przyjęła także Projekt Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (NIS2).

Po wejściu dyrektywy w życie, państwa członkowskie będą miały 21 miesięcy na jej wprowadzenie do krajowych porządków prawnych – termin upływa 27 września 2024 roku.

Kogo obejmie NIS2 (Podmioty NIS2)?

• Podmioty kluczowe z następujących sektorów:
  • energetyka;
  • transport;
  • bankowość;
  • infrastruktura rynków finansowych;
  • opieka zdrowotna;
  • woda pitna;
  • ścieki;
  • infrastruktura cyfrowa;
  • zarządzanie usługami ICT;
  • administracja publiczna;
  • przestrzeń kosmiczna.
• Podmioty ważne z następujących sektorów:
  • usługi pocztowe i kurierskie;
  • gospodarowanie odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja;
  • usługi cyfrowe;
  • badania naukowe.

Najważniejsze postanowienia NIS2:

• wprowadzono obowiązki organów zarządzających Podmiotów NIS2:
  • zatwierdzanie środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa;
  • nadzorowanie wdrażania środków zarządzania ryzykiem;
  • uczestnictwo w regularnych szkoleniach dotyczących rozumienia i oceny ryzyka związanego z cyberbezpieczeństwem;
  • ponoszenie odpowiedzialności za nieprzestrzeganie postanowień dyrektywy;
• wprowadzono dla Podmiotów NIS2 obowiązek wprowadzenia środków zarządzania ryzykiem w cyberprzestrzeni:
  • analiza ryzyka i polityka bezpieczeństwa systemów informacyjnych;
  • procedura postępowania w przypadku incydentów (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);
  • ciągłość działania i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym bezpieczeństwo stosunków między Podmiotem NIS2 a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich identyfikacja;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i, w stosownych przypadkach szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych;
• nałożenie na Podmioty NIS2 obowiązku zgłaszania istotnych incydentów właściwym organom w ciągu 24 godzin od uzyskania informacji o incydentach istotnych.

Podmioty NIS2 naruszające obowiązki wynikające z NIS2 będą podlegały administracyjnym karom pieniężnym w wysokości do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. NIS2 jako dyrektywa pozostawia organom krajowym swobodę wyboru formy i środków jej wdrożenia do krajowego systemu prawnego (nie musi być stosowana bezpośrednio).

Aby zapewnić zgodność z nowoprzyjętymi przepisami po ich wejściu w życie, podmioty, które zostaną objęte DORA i NIS2 powinny:

1. przygotować odpowiednie polityki i procedury odpowiadające wymogom wynikającym z tych aktów prawnych;
2. egzekwować ich przestrzeganie;
3. wdrożyć odpowiednie programy szkoleniowe m.in. dla pracowników.

Jeżeli działalność Państwa organizacji objęta jest powyższymi aktami prawnymi albo chcieliby Państwo zweryfikować ewentualność takiej kwalifikacji, zapraszamy do kontaktu.

[1] „spółka zarządzająca” oznacza spółkę zarządzającą w rozumieniu art. 2 ust. 1 lit. b) dyrektywy 2009/65/WE;

[2] „zewnętrzny dostawca usług ICT” oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług w chmurze, oprogramowania, usług analizy danych, ośrodków przetwarzania danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw, które uzyskały zezwolenie na mocy prawa Unii i świadczą usługi łączności elektronicznej, o których mowa w art. 2 pkt 4 of dyrektywy Parlamentu Europejskiego i Rady (UE), 2018/1972

[3] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie rynków kryptoaktywów i zmieniające dyrektywę (UE) 2019/1937