Komisja Europejska opublikowała projekt nowej Dyrektywy NIS 2

Dnia 16 grudnia 2020 r. Komisja Europejska opublikowała nowy pakiet cyberbezpieczeństwa dla Unii Europejskiej. Proponowane rozwiązania mają zwiększyć poziom odporności cybernetycznej na całym rynku wewnętrznym UE i zdolności w zakresie odpowiadania na incydenty w obszarze cyberbezpieczeństwa przez instytucje publiczne, podmioty prywatne, właściwe organy oraz Unię Europejską jako całość i nakładają na nie nowe obowiązki.

W skład pakietu cyberbezpieczeństwa wchodzi m.in. nowa propozycja dyrektywy dotyczącej środków na rzecz wysokiego poziomu bezpieczeństwa sieci i systemów komunikacji na terytorium Unii i uchylenia dyrektywy EU 2016/1148 („Dyrektywa NIS 2”).

Dlaczego nowa dyrektywa?

Potrzeba przyjęcia nowego aktu prawnego jest rezultatem przeglądu funkcjonowania i wdrażania pierwszej (aktualnie obowiązującej) dyrektywy NIS, która wykazała szereg niedociągnięć. Uznano, że w obliczu rosnącej cyfryzacji, nowych zagrożeń i wyzwań pojawiających się w obszarze cyberbezpieczeństwa, konieczne jest przyjęcie dalej idących rozwiązań i ram współpracy pomiędzy państwami członkowskimi Unii Europejskiej, a także zwiększenie roli Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Podobnie jak w przypadku pierwszej dyrektywy NIS, naczelnym celem Dyrektywy NIS 2 jest ochrona infrastruktury krytycznej. Nowy akt prawny ma przyczynić się do rozwiązania problemu niskiego poziomu cyberodporności przedsiębiorstw działających w Unii Europejskiej we wszystkich sektorach, które są zależne od sieci i systemów informatycznych oraz świadczą kluczowe usługi dla gospodarki i społeczeństwa.

Kogo ma dotyczyć Dyrektywa NIS 2?

Projekt nowego aktu prawnego przewiduje rozszerzenie katalogu podmiotów, na które nałożone będą obowiązki w zakresie cyberbezpieczeństwa. Przepisy Dyrektywy NIS 2 mają dotyczyć podmiotów z takich sektorów jak: energetyka, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna i technologie kosmiczne.

Z zakresu Dyrektywy NIS 2 wyłączone są:

• małe przedsiębiorstwa, czyli przedsiębiorstwa zatrudniające mniej niż 50 pracowników, których obroty roczne lub roczna suma bilansowa nie przekracza 10 mln EURO, oraz
• mikroprzedsiębiorstwa, czyli przedsiębiorstwa zatrudniające mniej niż 10 pracowników, których obroty roczne lub roczna suma bilansowa nie przekracza 2 mln EURO,

z wyjątkiem m.in. dostawców sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej, dostawców usług zaufania, rejestrów nazw domen (TLD), administracji publicznej i niektórych innych podmiotów, takich jak wyłączny dostawca usługi w państwie członkowskim.

Co przewiduje Dyrektywa NIS 2?

Podobnie jak pierwsza dyrektywa NIS, Dyrektywa NIS 2 nakłada na państwa członkowskie obowiązek przyjęcia krajowej strategii cyberbezpieczeństwa, wyznaczenia właściwych organów krajowych, pojedynczych punktów kontaktowych i zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). W stosunku do swojej poprzedniczki, Dyrektywa NIS 2 zaostrza jednak wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw i wprowadza bardziej rygorystyczne środki nadzoru ze strony krajowych organów.

Jednym z głównych celów Dyrektywy NIS 2 w stosunku do przedsiębiorstw jest zwiększenie świadomości zagrożeń cybernetycznych wśród najwyższej kadry zarządzającej.

Jak wskazano w projekcie, będzie można to zmierzyć, badając, w jakim stopniu firmy objęte zakresem regulacji Dyrektywy NIS 2 priorytetowo traktują kwestię cyberbezpieczeństwa oraz czy znajduje to odzwierciedlenie w ich wewnętrznych politykach i procesach. Dowodem ma być wewnętrzna dokumentacja, odpowiednie programy szkoleniowe i działania uświadamiające dla pracowników oraz priorytetyzacja inwestycji ICT (ang. Internet and Communication Technologies), związanych z bezpieczeństwem sieci i systemów informatycznych. Lepsza obsługa incydentów, poprawa obsługi incydentów w obszarze cyberbezpieczeństwa to drugi kluczowy obszar, a zarazem cel Dyrektywy NIS 2. W projekcie wskazano, że podejmując środki w tym zakresie, firmy nie tylko poprawiają swoją zdolność do całkowitego unikania niektórych incydentów, ale także zdolność do reagowania na incydenty. Miarą sukcesu w tym obszarze są:

• skrócenie średniego czasu potrzebnego do wykrycia incydentu,
• średni czas potrzebny organizacji na odbudowę po incydencie oraz
• średni koszt szkody spowodowanej incydentem.

Kolejną zmianą mają być surowsze wymogi w zakresie egzekwowania przepisów z obszaru cyberbezpieczeństwa oraz zintensyfikowana, transgraniczna współpraca operacyjna pomiędzy organami państw członkowskich Unii.

W nowych ramach prawnych Dyrektywy NIS 2, istotna będzie rola ENISY. Agencja ta będzie m.in. pomagać Komisji Europejskiej i państwom członkowskim w implementacji Dyrektywy NIS 2, a także wspierać Komisję Europejską w zakresie oceny wskaźników monitorowania skuteczności przewidzianych w niej rozwiązań.

Jakie będą koszty wdrożenia nowych rozwiązań?

Szacuje się, że dla firm, które byłyby objęte zakresem nowych ram cyberbezpieczeństwa z Dyrektywy NIS 2, wydatki na obszar cyberbezpieczeństwa zwiększą się maksymalnie o 22 % w stosunku do obecnych wydatków ponoszonych w obszarze ICT, a dla firm, które już są objęte ramami prawnymi aktualnej dyrektywy NIS o 12 %. Jednakże powyższe wydatki powinny zwrócić się w postaci zmniejszonych kosztów związanych z incydentami w obszarze cyberbezpieczeństwa. Ogólne szacunki projektodawców wskazują, że wdrożenie rozwiązań z Dyrektywy NIS 2 może doprowadzić do obniżenia kosztów incydentów cybernetycznych aż o 11,3 mld EUR.

Uwagi końcowe

Propozycja KE będzie obecnie przedmiotem negocjacji pomiędzy Radą Unii Europejskiej i Parlamentem Europejskim, które uczestniczą w procesie legislacyjnym. Po przyjęciu Dyrektywy NIS 2 państwa członkowskie Unii będą mieć obowiązek jej implementacji do krajowego porządku prawnego w terminie 18 miesięcy.

Projekt nowej Dyrektywy NIS 2 jest do pobrania  TUTAJ.