Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (dyrektywa NIS2) – najczęściej zadawane pytania

Dyrektywa w sprawie bezpieczeństwa sieci i informacji – pierwsze unijne prawo dotyczące cyberbezpieczeństwa – jest pierwszym horyzontalnym instrumentem rynku wewnętrznego mającym na celu poprawę odporności sieci i systemów informatycznych w Unii na zagrożenia dla cyberbezpieczeństwa. Pomimo znaczących osiągnięć dyrektywa w sprawie bezpieczeństwa sieci i informacji wykazała pewne ograniczenia. Cyfrowa transformacja społeczeństwa, zintensyfikowana przez kryzys związany z COVID-19, rozszerzyła krajobraz zagrożeń. Pojawiły się nowe wyzwania, które wymagają dostosowanej i innowacyjnej reakcji.

Aby móc przeanalizować wpływ i zidentyfikować niedociągnięcia dyrektywy w sprawie bezpieczeństwa sieci i informacji, Komisja przeprowadziła szeroko zakrojone konsultacje z zainteresowanymi stronami. Komisja określiła następujące główne kwestie:

• niewystarczający poziom cyberodporności przedsiębiorstw działających w UE
• niespójna odporność między państwami członkowskimi i sektorami
• niewystarczające wspólne rozumienie głównych zagrożeń i wyzwań wśród państw członkowskich
• brak wspólnej reakcji kryzysowej.

W związku z tym, aby zareagować na rosnące zagrożenia wynikające z cyfryzacji i wzajemnych powiązań, w grudniu 2020 r. Komisja zaproponowała zmieniony zestaw przepisów dostosowanych do przyszłych wyzwań mających na celu zwiększenie poziomu cyberodporności w Unii, w odniesieniu do których współprawodawcy osiągnęli porozumienie polityczne w dniu 13 maja 2022 r. i formalnie przyjęli nową dyrektywę pod koniec listopada 2022 r.

Od czasu kryzysu związanego z COVID-19 gospodarka europejska stała się bardziej uzależniona od rozwiązań cyfrowych niż kiedykolwiek wcześniej. Sektory i usługi stają się coraz bardziej wzajemnie powiązane i współzależne. Doprowadziło to do rosnącego i szybko zmieniającego się krajobrazu zagrożeń dla cyberbezpieczeństwa: wszelkie zakłócenia, nawet początkowo ograniczone do jednego podmiotu lub jednego sektora, mogą mieć skutki kaskadowe w szerszym zakresie, potencjalnie powodując daleko idące i długotrwałe negatywne skutki dla świadczenia usług na całym rynku wewnętrznym.

Pandemia COVID-19 pokazała podatność naszych coraz bardziej współzależnych społeczeństw w obliczu nieoczekiwanych zagrożeń. Zintensyfikowała ona już pojawiające się problemy w obowiązującej dyrektywie w sprawie bezpieczeństwa sieci i informacji i służyła jako katalizator jej przeglądu. Konkretną zmianą dyrektywy w sprawie bezpieczeństwa sieci i informacji w związku z tym kryzysem było rozszerzenie zakresu nowej dyrektywy o bardziej szczegółowe elementy w sektorze zdrowia, takie jak podmioty prowadzące działalność badawczo-rozwojową nad produktami leczniczymi.

Dyrektywa NIS2 przewiduje środki prawne mające na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE, aby przyczynić się do ogólnego funkcjonowania rynku wewnętrznego. Opiera się on na trzech głównych filarach, które stanowiły podstawę dyrektywy NIS1:

1. W oparciu o strategię NIS1 dotyczącą bezpieczeństwa sieci i systemów informatycznych, aby osiągnąć wysoki poziom gotowości państw członkowskich, dyrektywa NIS2 zobowiązuje państwa członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa. Państwa członkowskie są również zobowiązane do wyznaczenia krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), odpowiedzialnych za zarządzanie ryzykiem i incydentami, właściwego krajowego organu ds. cyberbezpieczeństwa oraz pojedynczego punktu kontaktowego (SPOC). SPOC musi pełnić funkcję łącznikową w celu zapewnienia współpracy transgranicznej między organami państw członkowskich z odpowiednimi organami w innych państwach członkowskich oraz, w stosownych przypadkach, z Komisją i ENISA, a także w celu zapewnienia współpracy międzysektorowej z innymi właściwymi organami w jego państwie członkowskim.
2. Dyrektywa NIS2 stanowi również kontynuację ram NIS1 ustanawiających grupę współpracy w zakresie bezpieczeństwa sieci i informacji w celu wspierania i ułatwiania strategicznej współpracy i wymiany informacji między państwami członkowskimi a siecią CSIRT, która promuje szybką i skuteczną współpracę operacyjną między krajowymi CSIRT.
3. Dyrektywa w sprawie bezpieczeństwa sieci i informacji1 zapewnia podjęcie środków w zakresie cyberbezpieczeństwa w siedmiu sektorach, które mają zasadnicze znaczenie dla naszej gospodarki i społeczeństwa i które w dużym stopniu opierają się na TIK, takich jak energia, transport, bankowość, infrastruktura rynku finansowego, woda pitna, opieka zdrowotna i infrastruktura cyfrowa

Podmioty publiczne i prywatne określone przez państwa członkowskie jako operatorzy usług kluczowych (OES) w tych sektorach są zobowiązane do przeprowadzenia oceny ryzyka dla cyberbezpieczeństwa i wprowadzenia odpowiednich i proporcjonalnych środków bezpieczeństwa. Są one zobowiązane do powiadamiania właściwych organów o poważnych incydentach. Ponadto dostawcy kluczowych usług cyfrowych (dostawcy usług cyfrowych lub dostawcy usług cyfrowych), tacy jak wyszukiwarki, usługi przetwarzania w chmurze i internetowe platformy handlowe, muszą również spełniać wymogi w zakresie bezpieczeństwa i powiadamiania określone w dyrektywie. Jednocześnie te ostatnie podlegają tak zwanemu „lekkiemu” systemowi regulacyjnemu, co oznacza, że podmioty te nie podlegają środkom nadzorczym ex ante.

Dyrektywa NIS2 znacznie rozszerza zakres sektorów i wprowadza próg wielkości w celu określenia, które podmioty wchodzą w jej zakres i byłyby zobowiązane do zgłaszania istotnych incydentów cyberbezpieczeństwa właściwym organom krajowym.

Dyrektywa NIS2 ma na celu wyeliminowanie niedociągnięć w poprzednich przepisach, dostosowanie ich do obecnych potrzeb i dostosowanie ich do przyszłych potrzeb.

W tym celu dyrektywa rozszerza zakres poprzednich przepisów poprzez dodanie nowych sektorów w zależności od stopnia ich cyfryzacji i wzajemnych powiązań oraz tego, jak ważne są one dla gospodarki i społeczeństwa, poprzez wprowadzenie zasady wyraźnego progu wielkości – co oznacza, że wszystkie średnie i duże przedsiębiorstwa w wybranych sektorach zostaną objęte zakresem stosowania. Jednocześnie pozostawia państwom członkowskim pewną swobodę w identyfikacji mniejszych podmiotów o wysokim profilu ryzyka bezpieczeństwa, które również powinny być objęte obowiązkami wynikającymi z nowej dyrektywy.

Nowa dyrektywa eliminuje również rozróżnienie między operatorami usług kluczowych a dostawcami usług cyfrowych. Podmioty zostałyby sklasyfikowane na podstawie ich znaczenia i podzielone na dwie kategorie: podmioty niezbędne i istotne, które będą podlegać różnym systemom nadzoru.

Wzmacnia i usprawnia wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw poprzez nałożenie podejścia do zarządzania ryzykiem, które zawiera minimalny wykaz podstawowych elementów bezpieczeństwa, które należy zastosować. Nowa dyrektywa wprowadza bardziej precyzyjne przepisy dotyczące procesu zgłaszania incydentów, treści zgłoszeń i terminów.

Ponadto NIS2 odnosi się do bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, zobowiązując poszczególne przedsiębiorstwa do przeciwdziałania zagrożeniom cyberbezpieczeństwa w łańcuchach dostaw i relacjach z dostawcami. Na szczeblu europejskim dyrektywa wzmacnia cyberbezpieczeństwo łańcucha dostaw w odniesieniu do kluczowych technologii informacyjno-komunikacyjnych. Państwa członkowskie we współpracy z Komisją i ENISA mogą przeprowadzać skoordynowane na szczeblu Unii oceny ryzyka dla bezpieczeństwa w odniesieniu do krytycznych łańcuchów dostaw, opierając się na udanym podejściu przyjętym w kontekście zalecenia Komisji w sprawie cyberbezpieczeństwa sieci 5G.

Dyrektywa wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, bardziej rygorystyczne wymogi w zakresie egzekwowania przepisów i ma na celu harmonizację systemów sankcji w państwach członkowskich.

Zwiększa również rolę grupy współpracy w kształtowaniu strategicznych decyzji politycznych oraz zwiększa wymianę informacji i współpracę między organami państw członkowskich. Wzmacnia również współpracę operacyjną w ramach sieci CSIRT i ustanawia europejską sieć łącznikową ds. cyberkryzysów (EU-CyCLONe) w celu wspierania skoordynowanego zarządzania incydentami i kryzysami cybernetycznymi na dużą skalę.

NIS2 ustanawia również podstawowe ramy z odpowiedzialnymi kluczowymi podmiotami w zakresie skoordynowanego ujawniania podatności na zagrożenia w odniesieniu do nowo wykrytych luk w zabezpieczeniach w całej UE oraz tworzy unijną bazę danych dotyczących podatności na zagrożenia w odniesieniu do publicznie znanych luk w produktach ICT i usługach ICT, która ma być obsługiwana i utrzymywana przez unijną agencję ds. cyberbezpieczeństwa (ENISA).

NIS2 obejmuje podmioty z następujących sektorów:

Sektory o wysokiej krytyczności: energia (energia elektryczna, system ciepłowniczy i chłodniczy, ropa naftowa, gaz i wodór); transport (powietrze, kolej, woda i droga); bankowość; infrastruktury rynku finansowego; zdrowie, w tym wytwarzanie produktów farmaceutycznych, w tym szczepionek; wody pitnej; ścieki; infrastruktura cyfrowa (punkty wymiany internetowej; Dostawcy usług DNS; Rejestry nazw TLD; dostawcy usług w chmurze obliczeniowej; dostawcy usług centrów danych; sieci dostarczania treści; dostawcy usług zaufania; dostawcy publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej); Zarządzanie usługami ICT (dostawcy usług zarządzanych i zarządzani dostawcy usług w zakresie bezpieczeństwa), administracja publiczna i przestrzeń kosmiczna.

Inne sektory krytyczne: usługi pocztowe i kurierskie; gospodarowanie odpadami; chemikalia; żywność; produkcja wyrobów medycznych, komputerów i elektroniki, maszyn i urządzeń, pojazdów silnikowych, przyczep i naczep oraz innego sprzętu transportowego; dostawcy usług cyfrowych (rynki internetowe, wyszukiwarki internetowe i platformy usług społecznościowych) i organizacje badawcze.

Ocena obecnych przepisów dotyczących wymogów w zakresie bezpieczeństwa i zgłaszania incydentów wykazała, że w niektórych przypadkach państwa członkowskie wdrożyły te wymogi w znacznie różny sposób. Spowodowało to dodatkowe obciążenie dla przedsiębiorstw prowadzących działalność w więcej niż jednym państwie członkowskim.

Ponadto, jeśli chodzi o wymogi cyberbezpieczeństwa, chcemy mieć pewność, że wszystkie firmy uwzględniają niezbędny podstawowy zestaw elementów w swojej polityce zarządzania ryzykiem w cyberprzestrzeni.

Z tego powodu NIS2 zawiera wykaz 10 kluczowych elementów, którymi wszystkie przedsiębiorstwa muszą zająć się lub wdrożyć w ramach podejmowanych przez nie środków, w tym obsługę incydentów, bezpieczeństwo łańcucha dostaw, zarządzanie lukami w zabezpieczeniach i ich ujawnianie, stosowanie kryptografii i, w stosownych przypadkach, szyfrowanie.

Jeślichodzi o zgłaszanie incydentów, musimy znaleźć właściwą równowagę między potrzebą szybkiego zgłaszania, aby uniknąć potencjalnego rozprzestrzeniania się incydentów, a potrzebą szczegółowego zgłaszania, aby wyciągnąć cenne wnioski z poszczególnych incydentów. Nowa dyrektywa przewiduje wieloetapowe podejście do zgłaszania incydentów. Zainteresowane przedsiębiorstwa mają 24 godziny od momentu, gdy po raz pierwszy dowiedzą się o incydencie, aby przedłożyć CSIRT lub właściwemu organowi krajowemu wczesne ostrzeżenie, co pozwoliłoby im również na zwrócenie się o pomoc (wytyczne lub porady operacyjne dotyczące wdrożenia ewentualnych środków łagodzących), jeżeli o to wystąpią. Po wczesnej ostrzeżeniu powinno nastąpić powiadomienie o incydencie w ciągu 72 godzin od uzyskania informacji o incydencie oraz zgłoszenie końcowe nie później niż miesiąc później.

Nowa dyrektywa w sprawie bezpieczeństwa sieci i informacji stawia nadzór i egzekwowanie przepisów w centrum zadań właściwych organów oraz ustanawia spójne ramy dla wszystkich działań nadzorczych i wykonawczych we wszystkich państwach członkowskich.

W celu wzmocnienia nadzoru, który pomaga zapewnić skuteczną zgodność, NIS2 zapewnia minimalny wykaz środków nadzorczych, za pomocą których właściwe organy mogą nadzorować podmioty niezbędne i istotne. Obejmują one regularne i ukierunkowane audyty, kontrole na miejscu i poza nim, żądanie informacji oraz dostęp do dokumentów lub dowodów.

Ponadto nowa dyrektywa ustanawia rozróżnienie systemów nadzoru między podmiotami niezbędnymi i istotnymi w celu zapewnienia sprawiedliwej równowagi obowiązków zarówno dla podmiotów, jak i właściwych organów.

Jeślichodzi o egzekwowanie przepisów, do tej pory w państwach członkowskich panowała ogólna niechęć do nakładania kar wobec podmiotów, które nie wprowadziły środków bezpieczeństwa lub nie zgłosiły incydentów. Może to mieć negatywne konsekwencje dla cyberodporności podmiotów. W celu zapewnienia skuteczności egzekwowania przepisów nowa dyrektywa ustanawia spójne ramy sankcji w całej Unii. W związku z tym ustanawia się w nim minimalny wykaz sankcji administracyjnych za naruszenie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni i sprawozdawczości określonych w dyrektywie NIS2. Sankcje te obejmują wiążące instrukcje, nakaz wdrożenia zaleceń audytu bezpieczeństwa, nakaz dostosowania środków bezpieczeństwa do wymogów bezpieczeństwa sieci i informacji oraz administracyjne kary pieniężne. W odniesieniu do grzywien administracyjnych w nowej dyrektywie w sprawie bezpieczeństwa sieci i informacji rozróżnia się podmioty niezbędne i istotne. W odniesieniu do podmiotów niezbędnych wymaga ona od państw członkowskich ustanowienia pewnego poziomu administracyjnych kar pieniężnych, w szczególności maksymalnej wysokości co najmniej 10 000 000 EUR lub 2 % całkowitego światowego rocznego obrotu z poprzedniego roku budżetowego, w zależności od tego, która z tych wartości jest wyższa. W odniesieniu do podmiotów istotnych NIS2 wymaga od państw członkowskich ustanowienia maksymalnej grzywny w wysokości co najmniej 7 000 000 EUR lub co najmniej 1,4 % całkowitego światowego rocznego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych wartości jest wyższa.

Wykonując swoje uprawnienia wykonawcze, właściwe organy powinny należycie uwzględnić szczególne okoliczności każdego przypadku, takie jak charakter, waga i czas trwania naruszenia, wyrządzone szkody lub poniesione straty, umyślny lub zaniedbany charakter naruszenia.

W celu zapewnienia rzeczywistej odpowiedzialności za środki w zakresie cyberbezpieczeństwa na szczeblu organizacyjnym, NIS2 wprowadza przepisy dotyczące odpowiedzialności osób fizycznych na stanowiskach kierowniczych wyższego szczebla w podmiotach objętych zakresem nowej dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Nowe przepisy usprawniają sposób, w jaki UE zapobiega incydentom i kryzysom cybernetycznym na dużą skalę, radzi sobie z nimi i reaguje na nie. Czynią to poprzez wprowadzenie jasnych obowiązków, odpowiedniego planowania i ściślejszej współpracy UE. NIS2 wymaga od państw członkowskich wyznaczenia organów krajowych odpowiedzialnych za zarządzanie kryzysami cybernetycznymi, wprowadzenia krajowych planów reagowania na incydenty cyberbezpieczeństwa i reagowania kryzysowego na dużą skalę oraz ustanowienia europejskiej sieci łącznikowej ds. cyberkryzysów (EU-CYCLONe) w celu wspierania skoordynowanego zarządzania incydentami cyberbezpieczeństwa na dużą skalę i kryzysami na szczeblu operacyjnym. Sieć ta jest kluczowym elementem przyczyniającym się do ustanowienia unijnych ram zarządzania kryzysami cybernetycznymi nakreślonych przez Komisję w 2017 r. w zaleceniu w sprawie skoordynowanej reakcji na incydenty i kryzysy na dużą skalę.

Zasadniczo uznajesię, że podmioty istotne i istotne podlegają jurysdykcji państwa członkowskiego, w którym mają siedzibę. Jeżeli podmiot ma siedzibę w więcej niż jednym państwie członkowskim, powinien podlegać jurysdykcji każdego z tych państw członkowskich. Właściwe organy, każde z tych państw członkowskich, powinny współpracować, udzielać sobie wzajemnej pomocy oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze. Istnieje kilka wyjątków od tej zasady:

• dostawcy publicznych sieci łączności elektronicznej lub dostawcy lub publicznie dostępne usługi łączności elektronicznej podlegaliby jurysdykcji państwa członkowskiego, w którym świadczą swoje usługi.
• podmioty administracji publicznej podlegałyby jurysdykcji państwa członkowskiego, które je ustanowiło.
• niektóre rodzaje podmiotów podlegałyby jurysdykcji państwa członkowskiego, w którym mają główną siedzibę w Unii. Do podmiotów tych należą dostawcy usług systemu nazw domen, rejestry nazw domen najwyższego poziomu, podmioty świadczące usługi rejestracji nazw domen, dostawcy usług przetwarzania w chmurze, dostawcy usług centrów danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzania bezpieczeństwem, a także dostawcy internetowych platform handlowych, wyszukiwarek internetowych i platform sieci społecznościowych. Ma to na celu zapewnienie, aby takie podmioty nie podlegały wielu różnym wymogom prawnym, ponieważ świadczą usługi ponad granicami w szczególnie dużym stopniu. Do celów skutecznego nadzoru państwa członkowskie będą zobowiązane do powiadamiania m.in. o tym, gdzie znajduje się główna jednostka organizacyjna podmiotu, a także o jego innych jednostkach prawnych w Unii lub, jeżeli nie mają siedziby w Unii, o miejscu, w którym wyznaczono przedstawiciela podmiotu. ENISA byłaby zobowiązana do utworzenia i prowadzenia rejestru zawierającego informacje przekazane na tej podstawie przez państwa członkowskie.

Współpraca UE jest kontynuowana poprzez umożliwienie państwom członkowskim wspólnego działania i przeciwdziałania pojawiającym się zagrożeniom dla bezpieczeństwa związanym z trwającą transformacją cyfrową.

Dokładniej rzecz ujmując, państwa członkowskie będą mogły wspólnie nadzorować wdrażanie przepisów UE i wzajemnie sobie pomagać w przypadku nadużyć transgranicznych, prowadzić bardziej zorganizowany dialog z sektorem prywatnym oraz koordynować ujawnianie słabych punktów w oprogramowaniu i sprzęcie sprzedawanym na rynku wewnętrznym. Będą również mogli pracować w skoordynowany sposób, aby ocenić zagrożenia dla bezpieczeństwa i zagrożenia związane z nowymi technologiami, tak jak to miało miejsce po raz pierwszy w przypadku 5G.

Państwa członkowskie będą korzystać ze współpracy UE w celu poprawy zdolności krajowych poprzez wymianę personelu między organami i wzajemne oceny. Istniejące grupy, w szczególności grupa współpracy skupiająca krajowe organy ds. cyberbezpieczeństwa i sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), przyczynią się do zacieśnienia współpracy, odpowiednio, na poziomie strategicznym i technicznym.

Dyrektywa NIS2 jest ściśle powiązana z dwiema innymi inicjatywami: dyrektywą w sprawie odporności podmiotów krytycznych (CER) oraz rozporządzeniem w sprawie operacyjnej odporności cyfrowej w sektorze finansowym (ustawa o cyfrowej odporności operacyjnej, DORA).

Zakres stosowania NIS 2 i dyrektywy w sprawie odporności podmiotów krytycznych (dyrektywa CER) zostały w znacznym stopniu dostosowane w celu zapewnienia kompleksowego rozwiązania kwestii fizycznej i cyberodporności podmiotów krytycznych. Podmioty określone jako podmioty krytyczne na mocy dyrektywy CER będą również podlegać obowiązkom w zakresie cyberbezpieczeństwa wynikającym z dyrektywy NIS2. Ponadto właściwe organy krajowe na mocy dyrektyw CER i NIS2 muszą regularnie współpracować i wymieniać istotne informacje, takie jak zagrożenia, cyberzagrożenia i incydenty, a także ryzyka, zagrożenia i incydenty inne niż cybercyber. Grupa współpracy w ramach NIS2 będzie musiała spotykać się regularnie i co najmniej raz w roku z Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na mocy dyrektywy CER.

Jeżelichodzi o sektor finansowy, podczas gdy nowa dyrektywa w sprawie bezpieczeństwa sieci i informacji obejmuje instytucje kredytowe, operatorów systemów obrotu i kontrahentów centralnych objętych jej zakresem, DORA będzie miała do tych podmiotów zastosowanie w odniesieniu do tych podmiotów w odniesieniu do obowiązków w zakresie zarządzania ryzykiem w zakresie cyberbezpieczeństwa i sprawozdawczości. Jednocześnie ważne jest utrzymanie silnych powiązań w zakresie wymiany informacji między sektorem finansowym a innymi sektorami objętymi NIS 2. W tym celu, zgodnie z DORA, Europejskie Urzędy Nadzoru (ESA) dla sektora finansowego i sektora finansowego właściwe organy krajowe będą mogły uczestniczyć w dyskusjach grupy współpracy w zakresie bezpieczeństwa sieci i informacji. Ponadto właściwe organy DORA mogłyby konsultować się z pojedynczym punktem kontaktowym (SPOC) i CSIRT ustanowionym w ramach NIS2 i udostępniać im odpowiednie informacje. Właściwe organy, SPOC lub CSIRT ustanowione w ramach NIS2 otrzymałyby również szczegółowe informacje na temat poważnych incydentów związanych z ICT od właściwych organów w ramach DORA. Ponadto państwa członkowskie powinny nadal włączać sektor finansowy do swoich strategii cyberbezpieczeństwa, a krajowe CSIRT mogą obejmować sektor finansowy w swojej działalności.

Państwa członkowskie będą musiały dokonać transpozycji dyrektywy do dnia 17 października 2024 r. (21 miesięcy od wejścia w życie NIS2). Następnie Komisja musi okresowo dokonywać przeglądu funkcjonowania dyrektywy i przedstawiać Parlamentowi i Radzie sprawozdanie na ten temat po raz pierwszy do dnia 17 października 2027 r.