Dyrektywa NIS 2: nowe przepisy dotyczące cyberbezpieczeństwa sieci i systemów informatycznych

Cyberbezpieczeństwo obejmuje ochronę sieci i systemów informatycznych (NIS), ich użytkowników i innych dotkniętych nimi osób przed cyberincydentami i zagrożeniami. Aby zareagować na zwiększone narażenie Europy na cyberzagrożenia, dyrektywa 2022/2555, znana również jako NIS2, zastąpiła swoją poprzedniczkę, dyrektywę 2016/1148 lub NIS1. NIS2 podnosi wspólny poziom ambicji UE w zakresie cyberbezpieczeństwa dzięki szerszemu zakresowi, jaśniejszym zasadom i silniejszym narzędziom nadzoru. Zobowiązano w nim państwa członkowskie do zwiększenia ich zdolności w zakresie cyberbezpieczeństwa, przy jednoczesnym wprowadzeniu środków zarządzania ryzykiem i wymogów sprawozdawczych dla podmiotów z większej liczby sektorów oraz ustanowieniu zasad współpracy, wymiany informacji, nadzoru i egzekwowania środków w zakresie cyberbezpieczeństwa.

Dyrektywa nakazuje, aby każde państwo członkowskie przyjęło krajową strategię cyberbezpieczeństwa, która obejmuje polityki dotyczące bezpieczeństwa łańcucha dostaw, zarządzania podatnością na zagrożenia oraz edukacji i świadomości w zakresie cyberbezpieczeństwa. Państwa członkowskie muszą również ustanowić i regularnie aktualizować wykaz operatorów usług kluczowych, zapewniając zgodność tych podmiotów z wymogami dyrektywy. 

Oprócz sektorów już objętych NIS 1, takich jak energetyka, transport, opieka zdrowotna, finanse, gospodarka wodna i infrastruktura cyfrowa, przepisy te mają zastosowanie do dostawców publicznych usług łączności elektronicznej, większej liczby usług cyfrowych, takich jak platformy społecznościowe, gospodarowanie ściekami i odpadami, wytwarzanie produktów krytycznych, usługi pocztowe i kurierskie, administracja publiczna, zarówno na szczeblu centralnym, jak i regionalnym, lub przestrzeń kosmiczna. Co do zasady średnie i duże podmioty w tych sektorach krytycznych będą musiały wprowadzić odpowiednie środki zarządzania ryzykiem w cyberprzestrzeni i powiadamiać odpowiednie organy krajowe o znaczących incydentach. Są to incydenty, które mogą spowodować znaczne zakłócenia lub szkody. 

Dyrektywa zawiera również przepisy dotyczące nadzoru, egzekwowania przepisów i dobrowolnych wzajemnych ocen w celu zwiększenia wzajemnego zaufania i zdolności w zakresie cyberbezpieczeństwa w całej UE. Wprowadza również odpowiedzialność najwyższego kierownictwa za nieprzestrzeganie środków zarządzania ryzykiem w cyberprzestrzeni, a tym samym zwraca uwagę zarządu na cyberbezpieczeństwo.

Dyrektywa ustanawia sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) w celu wymiany informacji na temat cyberzagrożeń i reagowania na incydenty. Zespoły te mają kluczowe znaczenie dla utrzymania orientacji sytuacyjnej i oferowania pomocy. Aby zarządzać cyberincydentami lub kryzysami w cyberbezpieczeństwie na dużą skalę, w dyrektywie utworzono europejską sieć organizacji łącznikowych ds. cyberkryzysów (EU-CyCLONe). Sieć ta wspiera skoordynowane zarządzanie i zapewnia regularną wymianę informacji między państwami członkowskimi i instytucjami UE w przypadku incydentów i kryzysów na dużą skalę. 

Jednocześnie grupa współpracy ds. bezpieczeństwa sieci i informacji jest platformą ustanowioną dyrektywą w sprawie bezpieczeństwa sieci i informacji w celu ułatwienia strategicznej współpracy i wymiany informacji między państwami członkowskimi UE, Komisją Europejską i Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Grupa publikuje niewiążące wytyczne i zalecenia wspierające wdrażanie dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Kontekst

Dyrektywa NIS 1 (dyrektywa 2016/1148) była pierwszym kompleksowym aktem prawnym UE mającym na celu zwiększenie cyberbezpieczeństwa sieci i systemów informatycznych w celu ochrony usług kluczowych dla gospodarki i społeczeństwa UE. W grudniu 2020 r. Komisja zaproponowała przegląd NIS 1, w wyniku którego przyjęto NIS 2, który wszedł w życie w styczniu 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na transpozycję dyrektywy NIS 2 do prawa krajowego. NIS 2 uchylił NIS1 z dniem 18 października 2024 r.