Dyrektywa NIS 2 Nowa Era Cyberbezpieczeństwa w Unii Europejskiej

Wstęp

16 stycznia 2023 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, zwana Dyrektywą NIS 2. Zastępuje ona Dyrektywę NIS 1 z 2016 roku, zaimplementowaną w Polsce głównie w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Państwa członkowskie mają 21 miesięcy na wdrożenie NIS 2 do porządku krajowego, czyli do dnia 17 października 2024 r.

 

Zmiany względem NIS 1

Dyrektywa NIS2 wprowadza m.in. następujące zmiany:

1. Poszerzenie zakresu podmiotów objętych regulacjami, obejmując więcej sektorów gospodarki.

2. Rezygnacja z rozróżnienia na operatorów usług podstawowych i dostawców usług cyfrowych, zamiast tego klasyfikuje organizacje według ich znaczenia oraz dzieli je na podmioty kluczowe i podmioty ważne.

3. Nakładanie na podmioty nowe obowiązki, takie jak wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, implementację polityki bezpieczeństwa systemów, zabezpieczenie łańcuchów dostaw czy opracowanie Planu Ciągłości Działania.

4. Zaostrzenie wymogów dotyczące zgłaszania incydentów i podwyższenie sankcji za ich nieprzestrzeganie.

 

Podmioty

Dyrektywa NIS 2 wprowadza dwie kategorie podmiotów: podmioty kluczowe oraz ważne. Podmioty kluczowe i ważne są wyznaczane na podstawie ich znaczenia dla ich sektorów lub dla rodzaju świadczonych przez nie usług (a także ich wielkości).

Podmiotem kluczowym może być podmiot publiczny, jak i prywatny, który świadczy usługi lub prowadzi działalność w UE i jednocześnie spełnia kryteria klasyfikujące je jako średnie przedsiębiorstwo. Szczegółowy katalog podmiotów krytycznych został wskazany przez ustawodawcę unijnego w dwóch załącznikach do Dyrektywy NIS 2: Załączniku nr 1 oraz Załączniku nr 2.

Podmiotami ważnymi według NIS 2 będą podmioty średnie, działające we wskazanych wyżej sektorach kluczowych oraz podmioty średnie lub duże, działające w sektorach ważnych (other critical sectors) określonych w Załączniku II do NIS 2.

 

Obowiązki

Dyrektywa NIS 2 przewiduje, że organy zarządzające (kierownictwo) podmiotów kluczowych i ważnych zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorują ich wdrażanie i ponoszą odpowiedzialność za naruszenie wymogów określonych w Dyrektywie.

Uprawnienia organów nadzorczych

Dyrektywa NIS 2 nadaje organom nadzorczym szeroki wachlarz uprawnień w zakresie kontroli i egzekwowania jej przepisów. Jednak szczegółowy katalog uprawnień organów nadzorczych będzie częściowo różnił się w zależności od tego, czy działania będą podejmowane wobec podmiotów kluczowych czy ważnych.

 

Konsekwencje związane z zaniechaniem realizacji obowiązków

Dyrektywa NIS 2 przewiduje nałożenie pieniężnych kar administracyjnych na podmioty kluczowe i ważne za naruszenie jej przepisów. Oprócz nałożenia administracyjnych kar pieniężnych Dyrektywa NIS 2 przewiduje dopuszczalność nałożenia sankcji karnych lub innych kar administracyjnych niż pieniężne w razie poważnego naruszenia obowiązków przewidzianych w Dyrektywie NIS 2.

 

Implementacja

Dyrektywa NIS 2 została przyjęta jako element harmonizacji minimalnej. W związku z tym państwa członkowskie będą mogły wprowadzić do przepisów ją implementujących obowiązki, które z niej bezpośrednio nie wynikają. Oznacza to, że w procesie wdrażania przepisów dyrektywy NIS 2 mogą pojawić się jeszcze istotne szczegóły i nowe obowiązki nakładane na podmioty krajowego systemu cyberbezpieczeństwa.

Dyrektywa NIS 2 to ważny krok w kierunku zwiększenia cyberbezpieczeństwa w Unii Europejskiej. Wprowadza ona nowe obowiązki dla podmiotów kluczowych i ważnych, a także zaostrza sankcje za ich nieprzestrzeganie. Wszystko to ma na celu zapewnienie wysokiego poziomu ochrony sieci i systemów informatycznych na terytorium Unii.

Autor:

Patryk Mariański

Ostatnie aktualności

Kategorie

Tagi