Nadchodzi NIS2: co musisz wiedzieć o nowych zasadach w cyberbezpieczeństwie
Część I – regulacje

W czasach coraz poważniejszych wyzwań w zakresie ochrony systemów IT Unia Europejska zdecydowała o modyfikacji przepisów regulujących kwestie cyberbezpieczeństwa i odporności biznesowej. Efektem jest dyrektywa NIS2, której termin wdrożenia wyznaczony został na 17 października 2024 roku. Czasu na przygotowania zostało niewiele, a analizy pokazują, że wśród polskich przedsiębiorców i menedżerów, dla których obecne wymagania stanowią nowy zakres do zaadresowania, znajomość tej problematyki pozostaje bardzo niska. Dlatego, pomimo że na temat NIS2 napisano już wiele, ponownie przeanalizujmy jej najważniejsze aspekty.

CZEGO DOWIESZ SIĘ Z TEGO ARTYKUŁU:

JAKIE SĄ NAJWAŻNIEJSZE RÓŻNICE ZAPISANE W NIS2 W STOSUNKU DO OBECNIE OBOWIĄZUJĄCEJ DYREKTYWY NIS?
KTÓRE ORGANIZACJE BĘDĄ PODLEGAĆ NOWYM PRZEPISOM?
ILE MAMY CZASU NA DOSTOSOWANIE SIĘ DO NOWYCH REGULACJI I SPEŁNIENIE ZAPISANYCH W NICH WYMAGAŃ?
JAKIE SĄ NAJWAŻNIEJSZE WYZWANIA ZWIĄZANE Z NIS2 NA POZIOMIE PRAWNYM I ORGANIZACYJNYM?

Zagrożenie cyberatakami rośnie – zarówno w Polsce, jak i w Europie. Według badań KPMG, w 2023 roku aż dwie trzecie firm odnotowało incydenty bezpieczeństwa IT, co stanowi wzrost o 8 proc. w porównaniu z 2022 rokiem. Co więcej – 34 proc. firm zanotowało wzrost intensywności cyberataków, a co dziesiąta badana firma zarejestrowała ponad 30 incydentów bezpieczeństwa[1]. Jeżeli weźmiemy pod uwagę dodatkowe potencjalne zagrożenie sabotażem związanym z wojną na Ukrainie i jednocześnie coraz szersze zastosowanie technologii cyfrowych w gospodarce, oczywiste stanie się, że incydenty bezpieczeństwa IT – i ochrona przed nimi – to jedno z najpoważniejszych wyzwań i dla menedżerów ds. bezpieczeństwa, i dla regulatorów.

Co i kiedy zmieni nowa dyrektywa

NIS2 ma zastąpić obowiązującą od sześciu lat dyrektywę NIS (Network and Information Systems Directive). Według narzuconego przez UE planu[2] do 17 października 2024 wszystkie państwa członkowskie muszą przyjąć i przedstawić publicznie środki i działania niezbędne do wdrożenia dyrektywy. Te regulacje krajowe mają obowiązywać od 18 października – to również dzień, w którym przestanie obowiązywać „stara” dyrektywa NIS. Czy tak ambitny harmonogram jest możliwy do zrealizowania – o tym za chwilę.

Głównym celem NIS2 jest zapewnienie wyższego poziomu ochrony danych cyfrowych w przedsiębiorstwach działających na obszarze Unii Europejskiej. Państwa członkowskie muszą wdrożyć m.in. krajową strategię cyberbezpieczeństwa oraz przepisy obejmujące wymogi w obszarze zarządzania ryzykiem i sprawozdawczości organizacji objętych dyrektywą. Ponadto NIS2 ma zapewnić tzw. minimalną harmonizację działań w państwach członkowskich – muszą one wprowadzić w życie procedury i zasady zawarte w dyrektywie, ale mogą stosować również własne, pod warunkiem, że są one bardziej rygorystyczne.

Nakłada ona na europejskie firmy m.in. obowiązek opracowania koncepcji w zakresie analizy ryzyka i bezpieczeństwa IT, zarządzania incydentami, posiadania własnego systemu zarządzania ciągłością działania oraz gotowości do jego weryfikacji przez odpowiednie instytucje. Zasady te dotyczą również bezpieczeństwa łańcucha dostaw produktów i usług – co przełoży się na konieczność dostosowania do NIS2 również firm będących partnerami organizacji objętych co do zasady nową dyrektywą.

Kto musi stosować nowe przepisy

Najważniejsze zmiany, jakie wprowadza nowa regulacja – oprócz często wspominanych drakońskich kar (w przypadku podmiotów kluczowych nawet do 2 proc. łącznego obrotu lub 10 mln euro – w zależności od tego, która kwota jest większa) – to znaczące poszerzenie katalogu firm i instytucji podlegających przepisom[3]. Dotychczas (w dyrektywie NIS) istniały dwie kategorie podmiotów objętych regulacjami – operatorzy usług kluczowych oraz dostawcy usług cyfrowych, natomiast polska ustawa o krajowym systemie cyberbezpieczeństwa (UoKSC implementująca postanowienia dyrektywy do polskiego systemu prawnego) wprowadziła dodatkową kategorię podmiotów publicznych.

Przepisy NIS2 dotyczą z założenia firm średnich i dużych – zatrudniających powyżej 50 osób i których roczny obrót i/lub suma bilansowa przekracza 10 mln euro. Ale uwaga – mogą one obejmować również firmy mniejsze, które pełnią kluczową funkcję dla społeczeństwa i działają w określonych sektorach gospodarki. Takimi firmami będą np. dostawcy cyfrowych usług zaufania czy usług DNS. Pod NIS2 podlegać będą również dostawcy usług łączności elektronicznej, monopole krajowe i jednostki prowadzące działalność transgraniczną.

Nowa dyrektywa wprowadza również istotne rozróżnienie – na podmioty kluczowe oraz podmioty ważne. Podmioty kluczowe to takie, które dostarczają usługi niezbędne do funkcjonowania gospodarki i społeczeństwa. Dyrektywa wprost wymienia sektory gospodarki, w których działają podmioty kluczowe: energetyka, transport, bankowość i finanse, kosmos, woda pitna, ścieki, ochrona zdrowia, infrastruktura cyfrowa i zarządzania usługami ICT oraz administracja publiczna. Z założenia podmioty działające w tych sektorach będą uznane za kluczowe, jeżeli są wystarczająco duże (pod względem zatrudnienia i obrotów – ponad 250 osób i 50 mln euro obrotu).

Organizacje średnie działające w tych sektorach uznane zostaną za ważne, jeżeli ich działalność ma istotny wpływ na gospodarkę Unii. Ale w tej kategorii znalazły się również podmioty średnie i duże działające w innych sektorach – świadczące usługi kurierskie i pocztowe, gospodarujące odpadami, produkujące lub dystrybuujące chemikalia oraz żywność, firmy produkcyjne i instytucje naukowe. Dokładny opis poszczególnych kategorii i sektorów znajduje się w załącznikach do głównego tekstu dyrektywy NIS2[4].

Ale tu pojawia się pewna pułapka. O ile według „starej” NIS operatorów usług kluczowych identyfikowały odpowiednie organy państw członkowskich, o tyle NIS2 przyjmuje zasadę, że to same firmy i instytucje będą określały, czy spełniają warunki określone w nowej regulacji. To zaś może prowadzić do błędów i odmiennych interpretacja – a w rezultacie do… kar finansowych.

Według obowiązujących jeszcze zasad, w Polsce jest 397 operatorów usług kluczowych (z czego najwięcej w ochronie zdrowia – 266)[5]. A jak się to przekłada na liczbę podmiotów ważnych wskazanych w nowej dyrektywie?

– Na podstawie naszych analiz uwzględniających profil działalności, wielkość i szacunkowe przychody, ustaliliśmy, iż liczba przedsiębiorstw klasyfikowanych jako podmioty ważne przez NIS2 to blisko 4 tys. firm. W ramach tych analiz nie braliśmy jednak pod uwagę łańcucha dostaw badanych podmiotów, bo to wymaga bardzo indywidualnego podejścia. Najważniejszy wniosek jest jednak taki, że ten katalog jest znacznie szerszy niż w przypadku wcześniejszej dyrektywy NIS – mówi Tomasz Ciepliński, Head of Presales / Leader ICT Architect w T-Mobile.

W Polsce (na razie) cisza

I tu dochodzimy do najważniejszego problemu z NIS2, jakim jest brak jednoznacznych wytycznych w zakresie identyfikowania podmiotów podlegających nowym przepisom, brak aktów wykonawczych (te są zapowiadane przez UE na połowę 2025 roku) oraz brak nowelizacji ustawy o KSC, która implementowałaby postanowienia dyrektywy do polskiego porządku prawnego.

– Prawdopodobieństwo, że rząd zdąży przygotować nową ustawę przed terminem 17 października, jest niewielkie. A bez tych przepisów dyrektywa na razie będzie martwa – ocenia Tomasz Ciepliński. – Być może konieczne będzie jednak zaostrzenie niektórych rozwiązań po przeniesieniu ich do polskiego prawa ze względu na trwającą na Ukrainie wojnę, a tym samym dużo większą ekspozycję na zagrożenia w obszarze cyberbezpieczeństwa. Jeżeli uwzględnimy czas związany ze ścieżką legislacyjną nowelizacji UoKSC oraz prawdopodobne sześciomiesięczne vacatio legis może się okazać, że realny termin obowiązywania NIS2 przesunie się na wiosnę 2025 roku.

Na najistotniejsze wyzwania prawne wynikające z konieczności wdrożenia NIS2 wskazują również menedżerowie ds. bezpieczeństwa (CISO) ankietowani na potrzeby raportu CSO Council, EY i TrendMicro „W oczekiwaniu na NIS2: stan przygotowań”[6]. Z badania wynika, że dla menedżerów największym problemem jest brak informacji o sposobie implementacji regulacji w polskim prawie (60 proc.) oraz niejasności co do „bycia zgodnym” z NIS2 (45 proc.). W dwóch trzecich firm nie ma przekonania czy czas pozostały do wdrożenia dyrektywy jest wystarczający – bo to zależy od zapisów krajowych.

Raport ilustruje jednak znacznie poważniejszy problem na polskim rynku: jedna czwarta organizacji objętych nowymi przepisami nie ma świadomości, że konieczne jest podjęcie dodatkowych działań. Uważają, że NIS2 ich nie dotyczy albo nie wiedzą, czy ich dotyczy, mimo że wśród tej grupy znajdowali się przedstawiciele podmiotów kluczowych. Największa świadomość co do nadchodzących zmian panuje w sektorach już teraz objętych regulacjami, takich jak telekomunikacja i IT, finanse i bankowość czy energetyka. Firmy z innych branż – handel i e-handel, sektor produkcyjny oraz transport i logistyka – prawdopodobnie jeszcze nie uświadamiają sobie skali wyzwań wiążących się z wdrożeniem NIS2.

Warto tu podkreślić, że NIS2 może obejmować również firmy mniejsze – na przykład takie, w których nie ma nawet odpowiednika roli CISO, a zatem obecnie całkowicie nieświadome nadchodzących problemów. Na to nakłada się również niezmienna od lat trudna sytuacja na rynku specjalistów ds. cyberbezpieczeństwa.

Ponadto – jak zauważa Tomasz Ciepliński – zagrożenie bardzo wysokimi karami za niedostosowanie organizacji do wymogów NIS2 oraz za niewłaściwe raportowanie incydentów bezpieczeństwa może zmotywować do działania przestępców. Firmy zaatakowane ransomware mogą rozważać negocjacje z hakerami i utrzymanie incydentu w tajemnicy, zamiast ryzykować kary finansowe przewidziane w nowej dyrektywie, które dla niektórych przedsiębiorstw może oznaczać być albo nie być na rynku.

Podsumowanie

Termin obowiązywania dyrektywy NIS2 nieuchronnie się zbliża. Niezależnie od tego, czy przyjmiemy datę październikową, czy kilka miesięcy późniejszą ze względu na konieczność nowelizacji ustawy o KSC, czasu na przygotowanie się do nowych regulacji jest bardzo mało. Sytuacja jest alarmująca, ponieważ wiele firm, które będą podlegały nowym przepisom, nie ma tego świadomości i nie podejmuje obecnie żadnych działań. Biorąc pod uwagę potencjalną liczbę podmiotów ważnych, szacowaną na ok. 4 tys., pozostawienie spraw „na ostatnią chwilę” spowoduje spiętrzenie zamówień na usługi związane z wdrażaniem NIS2.

Menedżerowie odpowiadający za cyberbezpieczeństwo powinni zatem – jeśli jeszcze tego nie zrobili – jak najszybciej:

Upewnić się, czy ich firma może podlegać nowym regulacjom NIS2.
Poznać obowiązki w zakresie zarządzania ryzykiem, zgłaszania incydentów, planów ciągłości biznesowej nakładane przez nowe przepisy.
Przeanalizować łańcuch dostaw pod kątem zgodności z NIS2, a także zapoznać się z uprawnieniami organów nadzorczych.
Dostosować budżet i organizację do ewentualnych obciążeń związanych ze spełnieniem wymogów NIS2.
Znaleźć partnera, który pomoże zarówno od strony zgodności z przepisami, jak i rozwiązań technologicznych.

Współpraca merytoryczna:

Tomasz Ciepliński

Head of Presales

T-Mobile Business Solutions

Jakie rozwiązania warto rozważyć, by przygotować organizację do nowych wyzwań, przedstawiamy w tym artykule.

[1] https://kpmg.com/pl/pl/home/media/press-releases/2024/02/media-press-co-trzecia-firma-w-polsce-odnotowala-w-2023-roku-przynajmniej-jeden-cyberincydent.html

[2] https://www.nis-2-directive.com/

[3] https://www.traple.pl/dyrektywa-nis-2-kogo-obejma-nowe-przepisy-podmioty-kluczowe-i-wazne/

[4] https://eur-lex.europa.eu/eli/dir/2022/2555

[5] https://dane.gov.pl/pl/dataset/3409,liczba-operatorow-uslug-kluczowych-z-podzialem-na-sektory/resource/53355/table?page=1&per_page=50&q=&sort=

[6] https://www.ey.com/pl_pl/cybersecurity/w-oczekiwaniu-na-nis2-stan-przygotowan