/ Aktualności / Projekt Dyrektywy NIS2 – nowe obowiązki związane z cyberbezpieczeństwem
Post Author
Mirosław Metych

Partner, Head of M&A

UDOSTĘPNIJ
27 lipca 2021 Pobierz PDF

Projekt Dyrektywy NIS2 – nowe obowiązki związane z cyberbezpieczeństwem

W związku ze zwiększającymi się zagrożeniami w obszarze cyberbezpieczeństwa (w tym wynikające ze zwiększonej szybkości transformacji cyfrowej spowodowanej pandemią Covid-19), planowane są obecnie zmiany do Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L z 2016 r. nr 194, str. 1) („Dyrektywa NIS”), którą docelowo ma zastąpić regulacja projektowanej nowej dyrektywy – „Dyrektywa NIS 2”.

Dyrektywa NIS 2 wprowadza podział na dwa typy podmiotów: „podmioty niezbędne” (essential entities) i „podmioty istotne” (important entities). W odniesieniu do „podmiotów niezbędnych” (essential entities), Dyrektywa NIS 2 rozszerza podmiotowo zakres regulacji w stosunku do Dyrektywy NIS, obejmując w tym kontekście podmioty m.in. z obszarów: energetyki (w tym m.in. energię elektryczną, ropę, gaz, wodór), zdrowia, przestrzeni kosmicznej (operatorzy infrastruktury naziemnej, wspierający świadczenie usług kosmicznych), jednostek centralnej administracji rządowej, obszaru infrastruktury cyfrowej (m.in. dostawcy usług przetwarzania w chmurze obliczeniowej, dostawcy usług CDN, dostawcy usług zaufania czy dostawcy publicznych sieci oraz usług łączności elektronicznej).

Jednocześnie, Dyrektywa NIS 2, wskazuje (opisuje) jako „podmioty istotne” (important entities) podmioty z dość szerokiego spectrum sektorów, obejmujących: usługi pocztowe i kurierskie, dostawców cyfrowych (dostawcy wyszukiwarek internetowych i internetowych platform handlowych, dostawcy platform usług sieci społecznościowych), obszar produkcji (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy), produkcję i dystrybucję chemikaliów, produkcję, przetwarzanie i dystrybucję żywności czy gospodarowanie odpadami. Co istotne, regulacje te mogą obejmować także małych oraz mikro-przedsiębiorców, pod warunkiem, że spełniają oni określone kryteria, m.in.: świadczą̨ usługi określonego rodzaju, posiadają szczególny status, itp.

W powyższym kontekście, w szczególności z perspektywy przedsiębiorców działających w ww. obszarach, należy podkreślić, iż Dyrektywa NIS 2 zwiększa zakres obowiązków nałożonych zarówno na podmioty niezbędne, jak i na podmioty istotne. Zgodnie z projektowaną treścią na podmioty te (w odpowiednim zakresie) zostają nałożone określone obowiązki związane z zapewnieniem i wprowadzeniem odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług, obejmujące:

  • analizę ryzyka i politykę bezpieczeństwa systemów informatycznych;
  • postępowanie w przypadku incydentu (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);
  • ciągłość działania i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  • polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni;
  • stosowanie kryptografii i szyfrowania.

Jednocześnie, Dyrektywa NIS 2 wskazuje, iż kraje członkowskie mają możliwość wymagania, zarówno od podmiotów niezbędnych, jak i od podmiotów istotnych, certyfikacji produktów, usług i procesów, zgodnie z europejskimi schematami certyfikacji. Przedmiotowy proces certyfikacji wymaga istotnego przygotowania się po stronie przedsiębiorców oraz, jak się wydaje, wsparcia w tym zakresie przez dedykowane podmioty.

Warto również wskazać, iż Dyrektywa NIS 2 zawiera postanowienia dotyczące określonych środków nadzorczych możliwych do stosowania przez organy krajów członkowskich (w tym np. w odniesieniu do podmiotów niezbędnych – aż do cofnięcia lub zawieszenia zezwolenia na prowadzenie przez dany podmiot określonego rodzaju działalności). Dyrektywa NIS 2 zawiera także postanowienia o charakterze sankcyjnym, przewidujące możliwość nałożenia przez organy krajowe, administracyjnych kar pieniężnych na podmioty naruszające jej określone postanowienia. Kary te mają wynosić maksymalnie do 10.000.000 EUR lub kwoty stanowiącej wartość 2% całkowitego rocznego światowego obrotu danego przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.

W przypadku, gdyby powyższa problematyka (w szczególności analiza niezbędnych procesów oraz wymogów formalnoprawnych dotyczących kwestii cyberbezpieczeństwa) wzbudziła Państwa zainteresowanie, serdecznie zapraszamy do kontaktu.

POZOSTAŁE WPISY AUTORA

Ready to go
next level?

Skontaktuj się z nami
#BUSINESSNEWS

Dziękujemy za zapisanie się do naszego newslettera!

Proszę sprawdzić swoją skrzynkę e-mail, aby potwierdzić subskrypcję.

Zamknij
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.