Bezpieczeństwo cyfrowe nie jest już tylko prywatną sprawą jednego podmiotu, nawet jeśli jest to podmiot całkowicie prywatny. Jego działalność i jego podatności mogą wpływać na inne podmioty, co może wywołać efekt domina
Co zmieni dyrektywa NIS2?
Dyrektywa NIS2 zastąpiła poprzednią dyrektywę NIS z 2016 r. Zmiana ma celu odpowiedź na wyzwania związane z cyberprzestępczością. Postępująca transformacja cyfrowa zwiększa wrażliwość na incydenty. Unijny ustawodawca zauważył, że bezpieczeństwo cyfrowe jest systemem naczyń połączonych. Nie wystarczy więc myśleć o bezpieczeństwie w sposób punktowy, ale systemowy. Celem jest zbudowanie spójnego systemu odpornego na cyfrowe zagrożenia, a który w razie awarii zostanie sprawnie przywrócony do działania.
Bezpieczeństwo cyfrowe nie jest już tylko prywatną sprawą jednego podmiotu, nawet jeśli jest to podmiot całkowicie prywatny. Jego działalność i jego podatności mogą wpływać na inne podmioty, co może wywołać efekt domina.
Nowe regulacje pozostaną zapewne niewidoczne dla „zwykłego” obywatela. Dzięki nim przeciętny obywatel powinien bez przeszkód i w bezpieczniejszy sposób poruszać się w przestrzeni cyfrowej.
NIS2 - zmiany odczują przedsiębiorcy
Zmiany odczują przedsiębiorcy, i to nie tylko ci bezpośrednio objęci NIS2. NIS2 dotknie także ich kontrahentów i dostawców. NIS2 wymaga bowiem bezpieczeństwa dla całego łańcucha dostaw.
Nie tylko z powodu NIS2, ale także innych aktów prawnych zwiększających wymagania w zakresie cyberbezpieczeństwa i odporności cyfrowej (np. sektorowe rozporządzenie DORA), może nastąpić pewien odwrót od umów B2B z programistami, a praca zdalna może zacząć być bardziej restrykcyjnie nadzorowana. W pewnych sytuacjach programista B2B może zostać uznany za podwykonawcę w rozumieniu standardów o cyberbezpieczeństwie. Taki trend może się pojawić zwłaszcza na rynkach nadzorowanych, takich jak finanse, czy bankowość.
Mimo patrzenia na cyberbezpieczeństwo jako na system oraz dostrzeżenia rozbieżności w implementacji dyrektywy z 2016 r., unijny ustawodawca zdecydował się na przyjęcie dyrektywy, a nie rozporządzenia, Jest to więc znowu akt, który musi zostać wdrożony do krajowych porządków prawnych poprzez ustawy.
Ustawa wdrażająca NIS2 powinna zostać przyjęta do 18 października 2024. Polska na pewno nie zdąży, ponieważ projekt ustawy wciąż znajduje się na etapie prac rządowych w RCL.
Najważniejsza zmiana dzięki NIS2
Chyba najważniejszą zmianą NIS2 w stosunku do NIS jest znaczne rozszerzenie podmiotów objętych nową regulacją. O ile dotychczas przepisy o cyberbezpieczeństwie dotyczyły wąskiej grupy ok. 400 podmiotów, to NIS2 dotyczy bardzo szerokiej grupy przedsiębiorców działających w wielu branżach. Łącznie bezpośrednio regulacjami NIS2 objętych zostanie w Polsce kilkanaście tysięcy podmiotów.
NIS obejmował 9 sektorów. NIS2 obejmuje już 19 sektorów. Oprócz administracji publicznej i sektorów związanych z technologiami, są to sektory związane z energetyką, transportem, żywnością, opieką zdrowotną, czy finansami.
NIS2 dotyka nie tylko podmioty bezpośrednio zobowiązane do jej stosowania, ale także ich kontrahentów (zwłaszcza dostawców usług IT). Zapewnienie cyberbezpieczeństwa zakłada bowiem korzystanie z bezpiecznych usług podwykonawców. Firmy zamierzające świadczyć usługi na rzecz podmiotów zobowiązanych
Czy firma podlega pod przepisy o cyberbezpieczeństwie?
Drugą ważną zmianą jest sposób stwierdzenia, czy moja firma podlega pod przepisy o cyberbezpieczeństwie. Dotychczas co do zasady decydowała o tym decyzja administracyjna ministra.
Ta zasada została zastąpiona zasadą samoidentyfikacji. Teraz każdy powinien samodzielnie ocenić, czy podlega pod przepisy, a w związku z tym wdrożyć odpowiednie procedury. Jeśli podlega, powinien zgłosić się do rejestru.
Minister właściwy wciąż będzie wyposażony w kompetencję do uznania niektórych podmiotów za krytycznych lub ważnych.
To, czy dana firma podlega pod wymagania NIS2, zależy od branży, w której działa oraz od jej wielkości.
Narzędziem do budowy cyfrowej odporności będzie wymiana informacji o zagrożeniach i incydentach, zarówno na poziomie krajowym, jak i zagranicznym. Jest to istotne, ponieważ informacje o incydentach mogą być kwalifikowane jako tajemnica przedsiębiorstwa i dotknięta nimi firma może próbować ukryć takie informacje. Dzielenie się takimi wrażliwymi informacjami w poufny sposób zwiększy ogólne bezpieczeństwo i pomoże wszystkim bronić się prze atakami.
NIS2 zwiększa rolę CSIRT-ów, czyli ośrodków nadzorujących i koordynujących cyberbezpieczeństwo w ramach krajowych ram cyberbezpieczeństwa. Powstaną CSIRT sektorowe i będą miały daleko idące uprawnienia do testowania bezpieczeństwa przedsiębiorstw.
r.pr. Michał Starczewski, BWHS Wojciechowski Springer i Wspólnicy