Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Dyrektywa NIS

Aktualizacja dyrektywy NIS do NIS II – Czy dotyczy Twojej firmy?

Dyrektywa NIS (v.1)

Dyrektywa NIS (Network and Information Systems Directive, dz. urz. UE poz. 2016/1148) z 2016r. definiowała założenia dotyczące cyberbezpieczeństwa dla krajów członkowskich UE i w oparciu o nią powstał – lub w niektórych przypadkach uległ aktualizacji – szereg regulacji mający na celu dostosowanie funkcjonowania kluczowych elementów infrastruktury pod względem bezpieczeństwa do standardów wytyczonych przez ową dyrektywę.

Najistotniejszą z regulacji, będącą bezpośrednim następstwem wdrożenia przez Polskę dyrektywy NIS jest Ustawa o Krajowym Systemie Bezpieczeństwa z 2018r. (Dz.U. 2018 poz. 1560). Definiuje ona obowiązki Operatorów Usług Kluczowych (OUK), Dostawców Usług Cyfrowych (DUC), podmiotów publicznych oraz zespołów reagowania CSIRT (Computer Security Incident Response Team) poziomu krajowego. Wśród zasad określonych w ustawie możemy znaleźć wytyczne dotyczące prawidłowego zarządzania i kontroli w organizacji pod względem organizacyjnym, strukturalnym, proceduralnym i technicznym, co ma skutkować budową i rozwojem bezpiecznego środowiska, a także informacje dotyczące postępowania w przypadku wykrycia incydentów bezpieczeństwa.

Dyrektywa NIS II

Unia Europejska dostrzegła błyskawiczny rozwój technologiczny i jego wpływ, a niekiedy wręcz nadrzędność w odniesieniu do kluczowych procesów w większości firm i organizacji; dostrzeżono również postępujące zmiany w obrazie zarówno modelu funkcjonowania (m.in. duży przeskok w stronę pracy zdalnej jako efekt pandemii COVID-19), oraz ciągły wzrost znaczenia i użytkowania technologii mobilnych, chmurowych czy IoT (Internet of Things).

Przede wszystkim jednak zwrócono uwagę na to, iż klasyfikacja zaproponowana w ramach dyrektywy NIS koncentruje się głownie na wąskiej grupie dostawców usług, nazywanych Operatorami Usług Kluczowych (OUK), podczas gdy istnieje duża grupa organizacji, których destabilizacja czy wykradzenie z nich danych może skutkować istotnymi konsekwencjami społeczno-gospodarczymi, nierzadko w skali makro – choćby poprzez ich powiązania z OUK.

Podjęto więc prace nad uaktualnieniem rozporządzenia NIS, co zaowocowało stworzeniem jego nowej wersji, określanej mianem NIS 2. Opublikowana została w urzędowym dzienniku UE 14. grudnia 2022r. jako pozycja 2022/2555.

Co zmienia się względem poprzedniej wersji NIS?

Choć zmianie uległa w pewnym stopniu struktura dokumentu oraz przeredagowano sekcje dotyczące wymaganych zabezpieczeń i scentralizowane je pod pojęciem zarządzania i kontroli ryzykiem w cyberbezpieczeństwie, główne założenia w tych obszarach nie zmieniają się w sposób istotny, rozwijając i doprecyzowując jedynie wymogi w szeregu niewystarczająco zdefiniowanych technologii czy trendów. W obu przypadkach jednak podejście do zarządzania środowiskiem i jego zabezpieczenia opiera się o typowe standardy, jak normy ISO 27000, 22301, czy framework ITIL.

Nie zmienia się również w sposób istotny metodologia zgładzania i obsługi incydentów we współpracy podmiotów z CSIRT-ami.

Główną i najistotniejszą zmianą w NIS 2 względem NIS jest zmiana klasyfikacji i podziału podmiotów, które będą objęte dyrektywą i jej pochodnymi w lokalnych legislacjach. Podczas, gdy poprzednio podział zakładał zdefiniowanie Operatorów Usług Kluczowych, Dostawców Usług Cyfrowych oraz podmiotów publicznych, a ilość sektorów działalności była bardzo mała, NIS 2 zakłada podział na dwie grupy podmiotów, których dotyczyć mają regulacje: podmioty kluczowe i podmioty ważne, oraz rozszerza znacząco ilość sektorów – i co za tym idzie, podmiotów – które regulacje obejmą.

Jak definiowane będą podmioty kluczowe i podmioty ważne?

Najprościej rzecz ujmując podmiotem kluczowym zostanie każdy podmiot z listy sektorów określonych w załączniku I do dyrektywy, w sekcji dot. podmiotów kluczowych, z nielicznymi wyłączeniami, głównie ze względu na rozmiar organizacji – brane są pod uwagę organizacje większe, niż zdefiniowane średnie przedsiębiorstwo, tj.:

  • firmy zatrudniające nie mniej niż 250 osób lub
  • firmy, których obroty roczne lub roczna suma bilansowa wynoszą poniżej 50 mln euro.

Nie są to jednak jedyne kryteria, albowiem po pierwsze istnieje szereg wyłączeń odgórnych, eliminujących progi wielkości organizacji, a także istnieje zapis, stanowiący:

„inne podmioty, o których mowa w załączniku I lub II, które zostały przez państwo członkowskie wskazane jako podmioty kluczowe zgodnie z art. 2 ust. 3 lit b)-e)” – co oznacza, że docelowo każda firma, która zostanie przez państwo uznana za organizację o znaczeniu strategicznym i wpisana na taką listę może zostać podmiotem kluczowym – a ostateczną listę poznamy po wprowadzeniu

Jeśli chodzi o podmioty ważne, tutaj sytuacja jest nieco prostsza: będą to albo organizacje z sektorów określonych dla podmiotów kluczowych (załącznik I), które podlegały wyłączeniu z bycia zaklasyfikowanymi jako podmiot kluczowy, albo organizacje z jednego z sektorów określonych dla podmiotów ważnych (załącznik II do dyrektywy NIS 2).

Jakie będą obowiązki podmiotów kluczowych i ważnych?

Względem podmiotów kluczowych nie zaszły kluczowe zmiany względem tego, czego wymagano w NIS od OUK, doprecyzowano głównie środki kontroli i nadzoru. Jeśli chodzi zaś o podmioty ważne, ich obowiązki i odpowiedzialność jest na nieco obniżonym poziomie względem tych zastosowanych do OUK, m.in. w obszarach kontroli zewnętrznych, czy narzuconej cykliczności audytów bezpieczeństwa. Pełna lista dla obu grup dostępna jest w treści rozporządzenia.

Do kiedy mają zostać przeprowadzone zmiany?

Zmiany w prawie wewnętrznym, klasyfikacja i pokrewne regulacje mają zostać wprowadzone (wraz z mechanizmami ich kontroli i egzekucji) przez kraje członkowskie do dnia 17. października 2024r. Oznaczać to będzie m.in. nowelizację, lub zastąpienie UoKSC, a także zdefiniowanie nowej listy podmiotów kluczowych. Jakkolwiek od czasu publikacji niniejszego artykułu pozostaje do tego czasu kilkanaście miesięcy, warto już teraz zainteresować się, czy nasza firma może zostać objęta regulacjami i przygotować stosowny plan działania.

Potrzebujesz wspacia przy wdrażaniu postanowień dyrektywy NIS2?

Zobacz co możemy dla Ciebie zrobić i napisz do nas

2024-07-01T13:30:10+02:00

Tytuł

Przejdź do góry