Dyrektywa NIS

Aktualizacja dyrektywy NIS do NIS II – Czy dotyczy Twojej firmy?

Dyrektywa NIS (v.1)

Dyrektywa NIS (Network and Information Systems Directive, dz. urz. UE poz. 2016/1148) z 2016r. definiowała założenia dotyczące cyberbezpieczeństwa dla krajów członkowskich UE i w oparciu o nią powstał – lub w niektórych przypadkach uległ aktualizacji – szereg regulacji mający na celu dostosowanie funkcjonowania kluczowych elementów infrastruktury pod względem bezpieczeństwa do standardów wytyczonych przez ową dyrektywę.

Najistotniejszą z regulacji, będącą bezpośrednim następstwem wdrożenia przez Polskę dyrektywy NIS jest Ustawa o Krajowym Systemie Bezpieczeństwa z 2018r. (Dz.U. 2018 poz. 1560). Definiuje ona obowiązki Operatorów Usług Kluczowych (OUK), Dostawców Usług Cyfrowych (DUC), podmiotów publicznych oraz zespołów reagowania CSIRT (Computer Security Incident Response Team) poziomu krajowego. Wśród zasad określonych w ustawie możemy znaleźć wytyczne dotyczące prawidłowego zarządzania i kontroli w organizacji pod względem organizacyjnym, strukturalnym, proceduralnym i technicznym, co ma skutkować budową i rozwojem bezpiecznego środowiska, a także informacje dotyczące postępowania w przypadku wykrycia incydentów bezpieczeństwa.

Dyrektywa NIS II

Unia Europejska dostrzegła błyskawiczny rozwój technologiczny i jego wpływ, a niekiedy wręcz nadrzędność w odniesieniu do kluczowych procesów w większości firm i organizacji; dostrzeżono również postępujące zmiany w obrazie zarówno modelu funkcjonowania (m.in. duży przeskok w stronę pracy zdalnej jako efekt pandemii COVID-19), oraz ciągły wzrost znaczenia i użytkowania technologii mobilnych, chmurowych czy IoT (Internet of Things).

Przede wszystkim jednak zwrócono uwagę na to, iż klasyfikacja zaproponowana w ramach dyrektywy NIS koncentruje się głownie na wąskiej grupie dostawców usług, nazywanych Operatorami Usług Kluczowych (OUK), podczas gdy istnieje duża grupa organizacji, których destabilizacja czy wykradzenie z nich danych może skutkować istotnymi konsekwencjami społeczno-gospodarczymi, nierzadko w skali makro – choćby poprzez ich powiązania z OUK.

Podjęto więc prace nad uaktualnieniem rozporządzenia NIS, co zaowocowało stworzeniem jego nowej wersji, określanej mianem NIS 2. Opublikowana została w urzędowym dzienniku UE 14. grudnia 2022r. jako pozycja 2022/2555.

Co zmienia się względem poprzedniej wersji NIS?

Choć zmianie uległa w pewnym stopniu struktura dokumentu oraz przeredagowano sekcje dotyczące wymaganych zabezpieczeń i scentralizowane je pod pojęciem zarządzania i kontroli ryzykiem w cyberbezpieczeństwie, główne założenia w tych obszarach nie zmieniają się w sposób istotny, rozwijając i doprecyzowując jedynie wymogi w szeregu niewystarczająco zdefiniowanych technologii czy trendów. W obu przypadkach jednak podejście do zarządzania środowiskiem i jego zabezpieczenia opiera się o typowe standardy, jak normy ISO 27000, 22301, czy framework ITIL.

Nie zmienia się również w sposób istotny metodologia zgładzania i obsługi incydentów we współpracy podmiotów z CSIRT-ami.

Główną i najistotniejszą zmianą w NIS 2 względem NIS jest zmiana klasyfikacji i podziału podmiotów, które będą objęte dyrektywą i jej pochodnymi w lokalnych legislacjach. Podczas, gdy poprzednio podział zakładał zdefiniowanie Operatorów Usług Kluczowych, Dostawców Usług Cyfrowych oraz podmiotów publicznych, a ilość sektorów działalności była bardzo mała, NIS 2 zakłada podział na dwie grupy podmiotów, których dotyczyć mają regulacje: podmioty kluczowe i podmioty ważne, oraz rozszerza znacząco ilość sektorów – i co za tym idzie, podmiotów – które regulacje obejmą.

Jak definiowane będą podmioty kluczowe i podmioty ważne?

Najprościej rzecz ujmując podmiotem kluczowym zostanie każdy podmiot z listy sektorów określonych w załączniku I do dyrektywy, w sekcji dot. podmiotów kluczowych, z nielicznymi wyłączeniami, głównie ze względu na rozmiar organizacji – brane są pod uwagę organizacje większe, niż zdefiniowane średnie przedsiębiorstwo, tj.:

firmy zatrudniające nie mniej niż 250 osób lub
firmy, których obroty roczne lub roczna suma bilansowa wynoszą poniżej 50 mln euro.

Nie są to jednak jedyne kryteria, albowiem po pierwsze istnieje szereg wyłączeń odgórnych, eliminujących progi wielkości organizacji, a także istnieje zapis, stanowiący:

„inne podmioty, o których mowa w załączniku I lub II, które zostały przez państwo członkowskie wskazane jako podmioty kluczowe zgodnie z art. 2 ust. 3 lit b)-e)” – co oznacza, że docelowo każda firma, która zostanie przez państwo uznana za organizację o znaczeniu strategicznym i wpisana na taką listę może zostać podmiotem kluczowym – a ostateczną listę poznamy po wprowadzeniu

Jeśli chodzi o podmioty ważne, tutaj sytuacja jest nieco prostsza: będą to albo organizacje z sektorów określonych dla podmiotów kluczowych (załącznik I), które podlegały wyłączeniu z bycia zaklasyfikowanymi jako podmiot kluczowy, albo organizacje z jednego z sektorów określonych dla podmiotów ważnych (załącznik II do dyrektywy NIS 2).

Jakie będą obowiązki podmiotów kluczowych i ważnych?

Względem podmiotów kluczowych nie zaszły kluczowe zmiany względem tego, czego wymagano w NIS od OUK, doprecyzowano głównie środki kontroli i nadzoru. Jeśli chodzi zaś o podmioty ważne, ich obowiązki i odpowiedzialność jest na nieco obniżonym poziomie względem tych zastosowanych do OUK, m.in. w obszarach kontroli zewnętrznych, czy narzuconej cykliczności audytów bezpieczeństwa. Pełna lista dla obu grup dostępna jest w treści rozporządzenia.

Do kiedy mają zostać przeprowadzone zmiany?

Zmiany w prawie wewnętrznym, klasyfikacja i pokrewne regulacje mają zostać wprowadzone (wraz z mechanizmami ich kontroli i egzekucji) przez kraje członkowskie do dnia 17. października 2024r. Oznaczać to będzie m.in. nowelizację, lub zastąpienie UoKSC, a także zdefiniowanie nowej listy podmiotów kluczowych. Jakkolwiek od czasu publikacji niniejszego artykułu pozostaje do tego czasu kilkanaście miesięcy, warto już teraz zainteresować się, czy nasza firma może zostać objęta regulacjami i przygotować stosowny plan działania.