EuropaWieści

Dyrektywa NIS 2

Grudzień 2020 roku obfitował w projekty nowych regulacji unijnych

Ważne
  • Wszyscy widzą, że ryzyko prowadzenia działalności w cyberprzestrzeni rośnie z każdym rokiem. Administracja unijna próbuje zapewnić odpowiedni poziom cyberbezpieczeństwa w krajach członkowskich przyjmując nowe regulacje prawne. Czas pokaże, czy okażą się skuteczne ...

Grudzień 2020 roku był bardzo obfity w projekty legislacyjne Unii Europejskiej. Jednym z nowych przedsięwzięć jest nowelizacja Dyrektywy NIS (1148) z roku 2016. Pojawił się projekt tej nowelizacji a właściwie nowej Dyrektywy:

Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148

Istnieje pewien związek z innym projektem, projektem Dyrektywy dotyczącej odporności podmiotów krytycznych. Otóż nowelizacja Dyrektywy NIS z roku 2016 – określana mianem NIS 2 – wprowadza dwie kategorie podmiotów, które będą podlegać zapisom Dyrektywy:

  1. Podmioty KLUCZOWE /essential entities/
  2. Podmioty WAŻNE /important entities/

Ta pierwsza kategoria wskazuje na te same podmioty, na które wskazuje projekt Dyrektywy dotyczącej odporności podmiotów krytycznych. Podmioty ważne to podmioty, które również będą podlegać regulacji przy ograniczonych obciążeniach organizacyjnych. Przypominamy, jakie podmioty będą podlegać zapisom Dyrektywy

Podmioty kluczowe /essential entities/

  • Przedsiębiorstwa energetyczne
  • Operatorzy systemów dystrybucyjnych / przesyłowych
  • Wytwórcy
  • Nominowani operatorzy rynku energii elektrycznej
  • Uczestnicy rynku energii elektrycznej
  • Operatorzy systemów lokalnego ogrzewania i chłodzenia
  • Operatorzy rurociągów przesyłowych ropy naftowej
  • Operatorzy instalacji wydobywczych, rafineryjnych, przeróbczych, magazynowych i przesyłowych
  • Podmioty składujące ropę naftową
  • Przedsiębiorstwa dostawcze
  • Operatorzy systemów dystrybucyjnych / przesyłowych
  • Operatorzy systemów magazynowania
  • Operatorzy systemów LNG
  • Przedsiębiorstwa gazowe
  • Operatorzy instalacji rafinacji i oczyszczania gazu ziemnego
  • Operatorzy produkcji, magazynowania i przesyłu wodoru
  • Przewoźnicy lotniczy
  • Operatorzy portów lotniczych oraz podmioty obsługujące instalacje pomocnicze znajdujące się na terenie portów lotniczych
  • Operatorzy systemów kontroli zarządzania ruchem lotniczym
  • Zarządcy infrastruktury
  • Przedsiębiorstwa kolejowe
  • Przedsiębiorstwa transportu wodnego pasażerskiego i towarowego: śródlądowego, morskiego i przybrzeżnego
  • Podmioty zarządzające portami oraz operatorzy usług ruchu statków
  • Podmioty odpowiedzialne za kontrolę zarządzania ruchem
  • Operatorzy inteligentnych systemów transportowych
  • Instytucje kredytowe
  • Operatorzy systemów obrotu
  • Kontrahenci centralni
  • Świadczeniodawcy
  • Laboratoria referencyjne UE
  • Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
  • Podmioty wytwarzające podstawowe produkty farmaceutyczne i preparaty farmaceutyczne
  • Podmioty wytwarzające wyroby medyczne uważane za krytyczne podczas stanu zagrożenia zdrowia publicznego
  • Dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
  • Przedsiębiorstwa zbierające, unieszkodliwiające lub oczyszczające ścieki komunalne, bytowe i przemysłowe
  • Dostawcy internetowego punktu wymiany
  • Dostawcy usług DNS
  • Operatorzy Rejestrów nazw TLD
  • Dostawcy usług przetwarzania w chmurze
  • Dostawcy usług centrum danych
  • Dostawcy sieci dostarczania treści
  • Dostawcy usług zaufania
  • Dostawcy publicznych sieci łączności elektronicznej
  • Podmioty administracji publicznej – rządowej
  • Podmioty administracji publicznej – regionalnej
  • Operatorzy infrastruktury naziemnej

Podmioty ważne /important entities/

  • Podmioty usługi pocztowych i kurierskich
  • Podmioty gospodarowania odpadami
  • Podmioty wytwarzające, produkujące i dystrybuujące chemikalia
  • Podmioty produkcji, przetwarzania i dystrybucji żywności
  • Producenci wyrobów medycznych i urządzeń medycznych do diagnostyki in vitro
  • Producenci komputerów, wyrobów elektronicznych i optycznych
  • Producenci sprzętu elektrycznego
  • Producenci maszyn i urządzeń
  • Producenci pojazdów samochodowych, przyczep i naczep
  • Producenci pozostałego sprzętu transportowego
  • Dostawcy usług cyfrowych:
    – Operatorzy rynków internetowych
    – Operatorzy wyszukiwarek internetowych
    – Operatorzy platform usług społecznościowych

Przy czym, podmioty administracji publicznej zostały określono następująco:

Podmiot administracji publicznej” oznacza podmiot w państwie członkowskim, który spełnia następujące kryteria:

a) został utworzony w celu zaspokajania potrzeb w interesie ogólnym i nie ma charakteru przemysłowego ani handlowego;
b) posiada osobowość prawną;
c) jest finansowany w przeważającej części przez państwo, władze regionalne lub inne podmioty prawa publicznego; lub podlega nadzorowi zarządczemu ze strony tych władz lub organów; lub posiada radę administracyjną, zarządzającą lub nadzorczą, której ponad połowa członków została wyznaczona przez państwo, władze regionalne lub inne podmioty prawa publicznego;
d) jest uprawniony do kierowania do osób fizycznych lub prawnych decyzji administracyjnych lub regulacyjnych wpływających na ich prawa w transgranicznym przepływie osób, towarów, usług lub kapitału.

Warto zaznaczyć, że Dyrektywa nie będzie obejmować jednostek administracji publicznej prowadzących działalność w obszarach bezpieczeństwa publicznego, ścigania, obronności lub bezpieczeństwa narodowego. I to wydaje się uzasadnione.

Unia Europejska spodziewa się, że wprowadzenie Dyrektywy zapewni „wysoki wspólny poziom cyberbezpieczeństwa” w krajach członkowskich. Trudno dzisiaj ocenić, czy mechanizmy opisane w treści Dyrektywy realnie przyczynią się do podniesienia poziomu cyberbezpieczeństwa ale jedno jest raczej pewne: Dyrektywa wejdzie w życie i rządy państw członkowskich nałożą na podmioty działające w wyżej wymienionych branżach pewne obowiązki dotyczące zarządzania ryzykiem i związanej z tym sprawozdawczości a także wymiany informacji pomiędzy tymi podmiotami.

Zarządzanie ryzykiem

Podmioty wskazanych branż będą zobowiązane do:

  • Przeprowadzania analiz ryzyka i utrzymania polityk bezpieczeństwa systemów IT;
  • Zapobiegania, wykrywania i reagowania na incydenty;
  • Zapewnienia ciągłości działania i zarządzania kryzysowego;
  • Zapewniania bezpieczeństwa łańcucha dostaw (towarów i usług);
  • Zapewnienia bezpieczeństwa nabywania, opracowywania i utrzymania sieci i systemów informatycznych;
  • Testowania i badania (audyty) skuteczności zarządzania ryzykiem w zakresie cyberbezpieczeństwa;
  • Stosowania kryptografii i szyfrowania.

Podmioty będą również zobowiązane do uwzględniania – a więc i do oceny – praktyk swoich dostawców w zakresie cyberbezpieczeństwa. To oznacza, że Dyrektywa dotknie też i podmioty, które nie zostały określone jako kluczowe lub ważne.

Ponadto członkowie zarządów tych podmiotów będą zobowiązani do uczestnictwa w szkoleniach „w celu zdobycia wystarczającej wiedzy i umiejętności w celu rozpoznania i oceny zagrożeń dla cyberbezpieczeństwa i praktyk zarządzania oraz ich wpływu na działalność podmiotu”.

Obowiązki sprawozdawcze

Podmioty podlegające zapisom Dyrektywy będą zobowiązane do powiadamiania „właściwych organów lub CSIRT” o każdym incydencie (i potencjalnych zagrożeniach) „mającym znaczący wpływ na świadczenie ich usług”. Wstępne powiadomienie ma być przesyłane w ciągu 24 godzin od uzyskania informacji o incydencie. Dyrektywa przewiduje również obowiązek składania sprawozdań odnoszących się do zaistniałych zdarzeń (incydentów).

Ponadto, będą zobowiązane – „w stosownych przypadkach” – do informowania również swoich usługobiorców a także – na żądanie władz – opinii publicznej.

Dyrektywa podaje również pewne kryteria, na podstawie których podmioty będą mogły uznawać incydenty jako znaczące:

Zdarzenie uznaje się za znaczące, jeżeli:
a) incydent spowodował lub może spowodować istotne zakłócenie działalności lub straty finansowe dla danego podmiotu;
b) incydent wywarł wpływ lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne straty materialne lub niemajątkowe.

Certyfikacja

Państwa członkowskie będą mogły wymagać – od istotnych i ważnych podmiotów – “certyfikacji niektórych produktów ICT, usług ICT i procesów ICT w ramach określonych europejskich programów certyfikacji cyberbezpieczeństwa przyjętych na podstawie art. 49 rozporządzenia (UE) 2019 / 881”.

Rejestr istotnych i ważnych podmiotów

Powstanie – prowadzony przez ENISA – rejestr istotnych i ważnych podmiotów, które będą zobowiązane do przekazania (do tego rejestru) danych kontaktowych. ENISA to Unijna Agencja Cyberbezpieczeństwa – European Union Agency for Cybersecurity.

Wymiana informacji

W artykule 26 projektu Dyrektywy zapisano, że istotne i ważne podmioty będą mogły wymieniać między sobą istotne informacje dotyczące cyberbezpieczeństwa (m.in. o cyberzagrożeniach, podatnościach, wskaźnikach naruszeń, taktykach, technikach, procedurach i alertach) a administracja państwowa będzie miała obowiązek zapewnić środowisko i mechanizmy wspierające (zapewniające) taką wymianę informacji z wykorzystaniem specjalnych platform ICT.

Zainteresowane podmioty (istotne i ważne) teoretycznie będą mogły przystąpić do takiej wymiany na zasadzie dobrowolności ale zapewne stanie się to wymogiem o ile nie prawnym to wizerunkowym.

Inne zobowiązania

Dyrektywa nakłada również pewne obowiązki odnoszące się do dostawców usług internetowych, w tym do podmiotów rejestrujących domeny, dostawców usług DNS, rejestrów nazw TLD, dostawców usług przetwarzania w chmurze, dostawców usług centrów danych i dostawców sieci dostarczania treści. Dotyczą te obowiązki ujawniania informacji a także tworzenia tzw. punktów kontaktowych.

Ponadto Dyrektywa określa jurysdykcję dla podmiotów świadczących usługi cyfrowe na terenie wielu państw członkowskich UE oraz – dla podmiotów spoza UE – wymóg wyznaczania swojego przedstawiciela w jednym z państw Unii, co ma oznaczać jurysdykcję tego państwa w stosunku do danego podmiotu świadczącego usługi cyfrowe. Jeżeli podmiot zewnętrzny względem UE nie wyznaczy swojego przedstawiciela będzie podlegać jurysdykcji tych państw, w których prowadzi działalność.

Te ostatnie zapisy wiążą się z innym przyszłym aktem prawa unijnego: z projektem Rozporządzenia w sprawie jednolitego rynku usług cyfrowych:

Proposal for a Regulation of The European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC.

O tym projekcie napisaliśmy w odrębnym artykule.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły