Prawdopodobnie już na początku 2026 roku Polska zaimplementuje dyrektywę NSI2, co jest obowiązkiem wszystkich państw członkowskich Unii Europejskiej. Przepisy dotyczą obowiązków i wytycznych w zakresie cyberbezpieczeństwa. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa trafiła już do Sejmu. Do egzekwowania prawa zobowiązane będą między innymi jednostki administracji publicznej wskazane jako kluczowe podmioty. Jakie wytyczne pojawią się w nowym prawodawstwie i jak się do nich przygotować?

Dyrektywa NIS2 – administracja publiczna, w tym jednostki samorządu terytorialnego, wśród podmiotów kluczowych

Dotychczas obowiązujące przepisy wynikające z dyrektywy NIS, poprzedniczki NIS2, dzieliły zainteresowane podmioty na operatorów usług kluczowych i dostawców usług cyfrowych. Dyrektywa NIS2 zakłada inny podział – na podmioty kluczowe dla bezpieczeństwa publicznego i podmioty ważne, objęte nieco mniej restrykcyjnym prawem.

Administracja publiczna jako szczególnie wrażliwa na zagrożenia cybernetyczne została zakwalifikowana do tej pierwszej grupy. Oznacza to, że administracja państwowa i samorządowa musi szczególnie zabezpieczyć się na wypadek poważnych incydentów związanych z bezpieczeństwem, a na wdrożenie nowych wytycznych zostało już bardzo niewiele czasu.

NIS2 – wytyczne dla administracji publicznej

Wytyczne, o których mowa dotyczą administracji centralnej i regionalnej, jednostek samorządu terytorialnego, a także innych instytucji publicznych, które świadczą usługi cyfrowe w sektorach krytycznych, na przykład opiece zdrowotnej, w transporcie czy gospodarce wodnej, o ile są częścią administracji.

Z wytycznych nie mogą być też zwolnione natomiast przedsiębiorstwa świadczące usługi na rzecz podmiotów administracji publicznej na przykład w dziedzinie bezpieczeństwa narodowego i publicznego. Jeśli chodzi o obowiązki administracji publicznej, można podzielić je na kilka kategorii.

Wdrożenie środków zarządzania ryzykiem sieci i systemów informatycznych

Wśród nowych wytycznych znajdują się między innymi obowiązki dotyczące identyfikacji zagrożeń, oceny ryzyka i wdrożenia środków zwiększających bezpieczeństwo cyfrowe. Podmioty będą zobowiązane do przeprowadzania regularnych audytów swoich systemów informatycznych i wskaźników integralności systemu. Monitorowanie sytuacji w zakresie bezpieczeństwa sieci to kolejny obowiązek.

Zgłaszanie incydentów związanych z cyberbezpieczeństwem przez podmioty sektora administracji publicznej

Kolejne obowiązki dotyczą raportowania w przypadku incydentów związanych z cyberbezpieczeństwem podmiotu. Obowiązek zgłaszania incydentów w ramach wczesnego ostrzeżenia pojawia się już w ciągu 24 godzin od wykrycia, natomiast pełnego zgłoszenia incydentu należy dokonać w ciągu 72 godzin. Po miesiącu należy przygotować pełny raport, a jeśli potencjalne zagrożenia wciąż istnieją (incydent nie zakończył się w terminie składania sprawozdania końcowego) – raport postępu prac. Zgłoszenie incydentu odbywa się do CSIRT GOV lub innego przewidzianego w przepisach podmiotu. Administracja publiczna powinna również opracowywać plany reagowania na tego typu incydenty i metody odzyskiwania danych.

Szkolenie administracji publicznej w zakresie cyberbezpieczeństwa

Jednostki administracji publicznej objęte dyrektywą NIS2 są zobowiązane do podnoszenia świadomości pracowników w zakresie cyberbezpieczeństwa. Dotyczy to między innymi regularnych szkoleń na temat zagrożeń.

Zapewnienie ciągłości działania usług publicznych

Jednym z głównych czynników ryzyka związanych z cyberatakami jest przerwanie ciągłości działania usług publicznych. Dlatego wśród wytycznych znajduje się między innymi konieczność opracowania planów awaryjnych, aby do tego nie dopuścić. W tym kontekście można wymienić na przykład lepsze szyfrowanie danych lub korzystanie z usług chmurowych w celu stworzenia kopii zapasowych kluczowych informacji.

Na wdrożenie dyrektywy NIS2 zostało już niewiele czasu, dlatego jednostki samorządowe i inne podmioty administracji publicznej już teraz powinny zdecydować się na audyt i zidentyfikować słabe punkty związane z cyberbezpieczeństwem. W Network Expert oferujemy pełne wsparcie!