W związku ze zwiększającymi się zagrożeniami w obszarze cyberbezpieczeństwa (w tym wynikające ze zwiększonej szybkości transformacji cyfrowej spowodowanej pandemią Covid-19), planowane są obecnie zmiany do Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L z 2016 r. nr 194, str. 1) („Dyrektywa NIS”), którą docelowo ma zastąpić regulacja projektowanej nowej dyrektywy – „Dyrektywa NIS 2”.
Dyrektywa NIS 2 wprowadza podział na dwa typy podmiotów: „podmioty niezbędne” (essential entities) i „podmioty istotne” (important entities). W odniesieniu do „podmiotów niezbędnych” (essential entities), Dyrektywa NIS 2 rozszerza podmiotowo zakres regulacji w stosunku do Dyrektywy NIS, obejmując w tym kontekście podmioty m.in. z obszarów: energetyki (w tym m.in. energię elektryczną, ropę, gaz, wodór), zdrowia, przestrzeni kosmicznej (operatorzy infrastruktury naziemnej, wspierający świadczenie usług kosmicznych), jednostek centralnej administracji rządowej, obszaru infrastruktury cyfrowej (m.in. dostawcy usług przetwarzania w chmurze obliczeniowej, dostawcy usług CDN, dostawcy usług zaufania czy dostawcy publicznych sieci oraz usług łączności elektronicznej).
Jednocześnie, Dyrektywa NIS 2, wskazuje (opisuje) jako „podmioty istotne” (important entities) podmioty z dość szerokiego spectrum sektorów, obejmujących: usługi pocztowe i kurierskie, dostawców cyfrowych (dostawcy wyszukiwarek internetowych i internetowych platform handlowych, dostawcy platform usług sieci społecznościowych), obszar produkcji (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy), produkcję i dystrybucję chemikaliów, produkcję, przetwarzanie i dystrybucję żywności czy gospodarowanie odpadami. Co istotne, regulacje te mogą obejmować także małych oraz mikro-przedsiębiorców, pod warunkiem, że spełniają oni określone kryteria, m.in.: świadczą̨ usługi określonego rodzaju, posiadają szczególny status, itp.
W powyższym kontekście, w szczególności z perspektywy przedsiębiorców działających w ww. obszarach, należy podkreślić, iż Dyrektywa NIS 2 zwiększa zakres obowiązków nałożonych zarówno na podmioty niezbędne, jak i na podmioty istotne. Zgodnie z projektowaną treścią na podmioty te (w odpowiednim zakresie) zostają nałożone określone obowiązki związane z zapewnieniem i wprowadzeniem odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług, obejmujące:
- analizę ryzyka i politykę bezpieczeństwa systemów informatycznych;
- postępowanie w przypadku incydentu (zapobieganie incydentom, wykrywanie ich i reagowanie na nie);
- ciągłość działania i zarządzanie kryzysowe;
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego dostawcami lub usługodawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa;
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
- polityki i procedury (z zakresu testowania i audytu) służące ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni;
- stosowanie kryptografii i szyfrowania.
Jednocześnie, Dyrektywa NIS 2 wskazuje, iż kraje członkowskie mają możliwość wymagania, zarówno od podmiotów niezbędnych, jak i od podmiotów istotnych, certyfikacji produktów, usług i procesów, zgodnie z europejskimi schematami certyfikacji. Przedmiotowy proces certyfikacji wymaga istotnego przygotowania się po stronie przedsiębiorców oraz, jak się wydaje, wsparcia w tym zakresie przez dedykowane podmioty.
Warto również wskazać, iż Dyrektywa NIS 2 zawiera postanowienia dotyczące określonych środków nadzorczych możliwych do stosowania przez organy krajów członkowskich (w tym np. w odniesieniu do podmiotów niezbędnych – aż do cofnięcia lub zawieszenia zezwolenia na prowadzenie przez dany podmiot określonego rodzaju działalności). Dyrektywa NIS 2 zawiera także postanowienia o charakterze sankcyjnym, przewidujące możliwość nałożenia przez organy krajowe, administracyjnych kar pieniężnych na podmioty naruszające jej określone postanowienia. Kary te mają wynosić maksymalnie do 10.000.000 EUR lub kwoty stanowiącej wartość 2% całkowitego rocznego światowego obrotu danego przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
W przypadku, gdyby powyższa problematyka (w szczególności analiza niezbędnych procesów oraz wymogów formalnoprawnych dotyczących kwestii cyberbezpieczeństwa) wzbudziła Państwa zainteresowanie, serdecznie zapraszamy do kontaktu.