17 sierpnia 2023 w Bez kategorii

DYREKTYWA NIS 2 – czy czeka nas rewolucja w cyberbezpieczeństwie?

Od 28 sierpnia 2018 r. w polskim porządku prawnym obowiązuje ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, będąca implementacją dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli tzw. dyrektywy NIS. Przytoczona ustawa normuje kwestie powiązane z cyberbezpieczeństwem, nakładając na podmioty w niej wskazane określone obowiązki, których wypełnianie, w założeniu, zapewniać powinno ochronę przed zagrożeniami, wynikającymi z wykorzystywania sieci i systemów informatycznych.

Dnia 16 stycznia 2023 r. w życie weszła dyrektywa NIS 2, czyli dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148. Jej implementacja wywoła istotne zmiany, w tym wprowadzi nowe obowiązki, a także zmodyfikuje katalog podmiotów objętych jej zakresem.

Państwa członkowskie mają czas na implementację dyrektywy do dnia 17 października 2024 r. Co oznacza, że teoretycznie od 18 października 2024 r., zaczną obowiązywać nowe regulacje.

  1. JAKI JEST CEL DYREKTYWY?

Celem dyrektywy NIS 2 jest poprawa poziomu cyberbezpieczeństwa na terenie Unii Europejskiej. W motywach nowej dyrektywy zwrócono uwagę na obecnie występujące różnice między wymogami w zakresie cyberodporności w poszczególnych państwach członkowskich, co skutkuje fragmentaryzacją rynku wewnętrznego. Problem ten wynika z pozostawienia członkom dużej swobody w zakresie wdrażania dyrektywy NIS, w tym możliwości objęcia podmiotów innymi wymogami w zakresie cyberbezpieczeństwa oraz różnymi metodami nadzoru w poszczególnych państwach. Takie rozbieżności, zdaniem Parlamentu Europejskiego i Rady UE, wpływają negatywnie na funkcjonowanie rynku wewnętrznego, szczególnie oddziałując na transgraniczne świadczenie usług oraz poziom odporności na cyberzagrożenia. Chęć wyeliminowania owych rozbieżności, a także potrzeba poprawy cyberbezpieczeństwa w obliczu dynamicznego postępu technologicznego, stanowiła motyw wprowadzenia NIS 2.

  • CZEGO DOTYCZY NIS 2?

Zgodnie z art. 1 dyrektywy NIS 2, ustanawia ona środki mające na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, aby poprawić funkcjonowanie rynku wewnętrznego. Aby osiągnąć ten cel, dyrektywa określa obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Ponadto dyrektywa reguluje także środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów spoczywające na określonych podmiotach. Zakresem dyrektywy NIS 2 objęto również zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie oraz obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.

  • ZAKRES PODMIOTOWY NOWEJ DYREKTYWY

Z perspektywy przedsiębiorcy, najistotniejsza będzie odpowiedź na pytanie: czy dyrektywa NIS 2 mnie dotyczy? W porównaniu z dotychczas obowiązującymi przepisami, na mocy dyrektywy NIS 2 rozszerzony został krąg podmiotów, do których zastosowanie znajdą przepisy. Dotychczasowa regulacja wprowadzała podział na operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne. Dyrektywa NIS 2 rezygnuje z powyższego katalogu, przewidując dwie kategorie podmiotów, które będą zobowiązane do wdrożenia środków wynikających z dyrektywy NIS 2 – podmioty kluczowe oraz podmioty ważne.

Podmiot musi ponadto kwalifikować się jako średnie przedsiębiorstwo, w rozumieniu art. 2 załącznika do zalecenia 2003/361/WE, czyli zatrudniać co najmniej 50, lecz mniej niż 250 osób. Ponadto takie przedsiębiorstwo powinno osiągać obroty roczne i/lub roczną sumę bilansową w wysokości co najmniej 10 mln EUR. Obroty roczne nie mogą jednak przekraczać 50 mln EUR, i/lub roczna suma bilansowa przedsiębiorstwa nie może przekraczać 43 mln EUR.

Dyrektywa znajdzie również zastosowanie do dużych przedsiębiorstw, czyli przedsiębiorstw zatrudniających co najmniej 250 pracowników i osiągających obroty roczne przekraczające 50 mln EUR, i/lub roczna sumę bilansową przekraczającą 43 mln EUR.

Warto jednak zwrócić uwagę na znaczący wyjątek. Dyrektywa znajdzie zastosowanie do niektórych podmiotów, niezależnie od ich wielkości. Wśród nich znajdują się podmioty świadczące usługi rejestracji nazw domen, dostawcy publicznych sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej, czy co do zasady podmioty krytyczne.

W dyrektywie NIS 2 znajdują się ponadto pewne wyłączenia. Przepisy dyrektywy nie będą stosowane w przypadku m.in. podmiotów administracji publicznej, niebędących dostawcami usług zaufania, które prowadzą działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania im, prowadzenia postępowań w sprawie przestępstw, ich wykrywania oraz ścigania.

  • PODMIOTY KLUCZOWE I WAŻNE

W załącznikach I i II ustawodawca unijny określił sektory, uznawane za kluczowe oraz ważne. Podział ten stanowi punkt wyjścia do ustalenia katalogów podmiotów kluczowych i ważnych.

W załączniku I nowej dyrektywy zawarty został katalog sektorów kluczowych. Należą do nich wskazane sektory:

  1. energetyka (energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz, wodór);
  2. transport (lotniczy, kolejowy, wodny, drogowy);
  3. bankowość;
  4. infrastruktura rynków finansowych;
  5. opieka zdrowotna;
  6. woda pitna;
  7. ścieki;
  8. infrastruktura cyfrowa;
  9. zarządzanie usługami ICT (między przedsiębiorstwami);
  10. podmioty administracji publicznej;
  11. przestrzeń kosmiczna.

Sektory ważne zostały wymienione w załączniku II. Należą do nich:

  1. usługi pocztowe i kurierskie;
  2. gospodarowanie odpadami;
  3. produkcja, wytwarzanie i dystrybucja chemikaliów;
  4. produkcja, przetwarzanie i dystrybucja żywności;
  5. produkcja:
    1. produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
    1. produkcja komputerów, wyrobów elektronicznych i optycznych,
    1. produkcja urządzeń elektrycznych,
    1. produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana,
    1. produkcja pojazdów samochodowych, przyczep i naczep,
    1. produkcja pozostałego sprzętu transportowego,
  6. dostawcy usług cyfrowych;
  7. badania naukowe.

Art. 3 dyrektywy NIS 2 stanowi, iż za podmioty kluczowe uznaje się:

  1. podmioty w rodzaju tych, o których mowa w załączniku I, będące przedsiębiorstwami dużymi;
  2. kwalifikowanych dostawców usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawców usług DNS, niezależnie od ich wielkości;
  3. dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, które kwalifikują się jako średnie przedsiębiorstwa;
  4. podmioty administracji publicznej na poziomie rządu centralnego, zdefiniowane przez państwo członkowskie, zgodnie z prawem krajowym;
  5. inne podmioty w rodzaju tych, o których mowa w załączniku I lub II, które zostały wskazane przez państwo członkowskie jako podmioty kluczowe zgodnie z art. 2 ust. 2 lit. b)–e) dyrektywy NIS 2 (np. podmiot będący jedynym dostawcą usługi, która ma kluczowe znaczenie dla utrzymania krytycznej działalności gospodarczej; zakłócenie usługi świadczonej przez taki podmiot mogłoby mieć znaczący wpływ przykładowo na bezpieczeństwo publiczne);
  6. podmioty wskazane jako podmioty krytyczne na podstawie dyrektywy (UE) 2022/2557 (identyfikacja podmiotów krytycznych powinna się odbyć do 17 lipca 2026 r.), o których mowa w art. 2 ust. 3) dyrektywy NIS 2;
  7. jeżeli państwo członkowskie tak postanowi, podmioty, które to państwo członkowskie wskazało przed 16 stycznia 2023 r. jako operatorów usług kluczowych zgodnie z dyrektywą (UE) 2016/1148 lub prawem krajowym.

Podmiotami ważnymi w rozumieniu dyrektywy są podmioty w rodzaju tych, o których mowa w załączniku I lub II, które nie kwalifikują się jako podmioty kluczowe. Warto podkreślić, iż odnosi się to również do podmiotów, które zostały wskazane przez państwa członkowskie jako podmioty ważne zgodnie z art. 2 ust. 2 lit. b)–e) dyrektywy NIS 2.

Definicje z dyrektywy miejscami budzą wątpliwości, co do faktycznego zakresu podmiotowego jej zastosowania. Poniżej przygotowaliśmy kilka przykładów, które pozwolą na lepszą weryfikację czy przedsiębiorca musi realizować obowiązki nałożone dyrektywą czy też nie.

PRZYKŁAD 1: Przedsiębiorca XYZ jest mikro przedsiębiorcą, prowadzącym działalność w zakresie rejestracji nazw domen, niebędących domenami najwyższego poziomu. Czy będzie on podlegał nowym przepisom?   ODPOWIEDŹ: TAK Zgodnie z art. 2 ust. 4 dyrektywa ma zastosowanie do podmiotów świadczących usługi rejestracji nazw domen, niezależnie od ich wielkości. Oznacza to, że nawet mikro przedsiębiorca, prowadzący działalność w tym zakresie, objęty zostanie zakresem nowej dyrektywy.   PRZYKŁAD 2: Przedsiębiorca ZYX jest średnim przedsiębiorcą, będącym dostawcą usług cyfrowych. Czy będzie musiał stosować przepisy nowej dyrektywy?   ODPOWIEDŹ: TAK Dostawcy usług cyfrowych zostali wymienieni w złączniku II. Średni przedsiębiorca wykonujący taką działalność będzie musiał stosować nowe przepisy.   PRZYKŁAD 3: Przedsiębiorca XZY jest małym przedsiębiorcą, będącym dostawcą usług cyfrowych. Czy będzie musiał stosować przepisy nowej dyrektywy?   ODPOWIEDŹ: NIE (co do zasady) Co do zasady, dyrektywa nie znajdzie zastosowania do małych oraz mikro przedsiębiorców. Przewidziane zostały jednak pewne wyjątki. Wielkość podmiotu nie będzie miała znaczenia na przykład, gdy zakłócenie usługi świadczonej przez podmiot mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne, czy w przypadku gdy podmiot ma charakter krytyczny ze względu na jego szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi lub dla innych współzależnych sektorów w państwie członkowskim. Konkretne przypadki trzeba więc będzie analizować oddzielnie.  

Do dnia 17 kwietnia 2025 r. państwa członkowskie obowiązane są ustalić wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Następnie, państwa członkowskie regularnie, i nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonywać będą przeglądu i, w stosownych przypadkach, aktualizacji tego wykazu.

  • CZY ZA NIEPRZESTRZEGANIE NOWYCH PRZEPISÓW BĘDĄ GROZIĆ SANKCJE?

Za naruszenie przepisów Dyrektywy NIS 2 będą grozić sankcje. Podział na sektory kluczowe i ważne jest istotny również z uwagi na zróżnicowanie wysokości administracyjnych kar pieniężnych, normowanych art. 34 dyrektywy, które mogą zostać nałożone na podmioty należące do poszczególnych kategorii. I tak na podmioty kluczowe dokonujące naruszeń art. 21 (środki zarządzania ryzykiem w cyberbezpieczeństwie) lub art. 23 (obowiązki w zakresie zgłaszania incydentów) dyrektywy będzie można nałożyć administracyjne kary pieniężne w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie będzie mieć kwota wyższa. Podmioty ważne dokonujące naruszeń art. 21 lub 23 podlegać będą karom w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie będzie mieć kwota wyższa.

  • JAKIE OBOWIĄZKI ZOSTANĄ NAŁOŻONE NA PODMIOTY?

Celem wprowadzenia dyrektywy NIS 2 jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Realizacji tego zamiaru służyć ma między innymi nałożenie nowych obowiązków na podmioty objęte zakresem nowej dyrektywy. Już na wstępie należy zaznaczyć, iż katalog tych obowiązków będzie taki sam, bez względu na zakwalifikowanie danego podmiotu jako ważnego czy kluczowego.

Wśród obowiązków, które dyrektywa NIS 2 nakłada na podmioty kluczowe i ważne, wymienić należy obowiązek regulowany w art. 21 dyrektywy, czyli obowiązek wprowadzania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Istotny jest także obowiązek zgłaszania, bez zbędnej zwłoki, przez podmioty kluczowe i ważne swojemu właściwemu CSIRT lub, jeżeli ma to zastosowanie, swojemu właściwemu organowi, incydentu mającego istotny wpływ na świadczenie przez nie usług, o którym mowa w ust. 3 art. 23, czyli poważnego incydentu. W stosownych przypadkach na danych podmiotach ciążyć będzie obowiązek powiadamiania bez zbędnej zwłoki odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie tych usług.

  • DLACZEGO NALEŻY ZACZĄĆ DOSTOSOWYWANIE DO NOWYCH PRZEPISÓW JUŻ TERAZ?

Pomimo iż obowiązki wynikające z dyrektywy NIS 2 zaczną spoczywać na podmiotach dopiero od października 2024 r., warto przystąpić do wdrażania nowych przepisów już teraz. Należy zwrócić uwagę na ilość zmian, wprowadzanych przez NIS 2, do których dostosowanie może okazać się czasochłonne. Nie można także zapominać o kosztach, związanych z ich wdrażaniem.

Materiały zamieszczone na stronie internetowej Kancelarii Prawnej SQUARE mają charakter informacyjny i nie stanowią porady prawnej. Kancelaria Prawna SQUARE, ani jej pracownicy, nie ponoszą odpowiedzialności za ewentualne błędy lub braki w zamieszczonych materiałach oraz ewentualne działania podjęte w oparciu o takie materiały.
Osoby zainteresowane uzyskaniem porady prawnej lub informacji dotyczących kwestii poruszonych na stronie proszone są o skontaktowanie się bezpośrednio z Kancelarią Prawną SQUARE poprzez formularz kontaktowy, wiadomość e-mail lub telefonicznie na numer wskazany w stopce.


The materials and information posted on the SQUARE Legal website are provided for general information purposes only and do not constitute legal advice. SQUARE Legal and its employees are not responsible for any errors or deficiencies in the posted materials or information, and any actions taken based thereon. Should you be interested in obtaining legal advice or information on issues discussed on the SQUARE Legal website, do not hesitate to contact us directly via phone, online contact form or e-mail.

Materiały zamieszczone na stronie internetowej Kancelarii Prawnej SQUARE mają charakter informacyjny i nie stanowią porady prawnej. Kancelaria Prawna SQUARE, ani jej pracownicy, nie ponoszą odpowiedzialności za ewentualne błędy lub braki w zamieszczonych materiałach oraz ewentualne działania podjęte w oparciu o takie materiały.
Osoby zainteresowane uzyskaniem porady prawnej lub informacji dotyczących kwestii poruszonych na stronie proszone są o skontaktowanie się bezpośrednio z Kancelarią Prawną SQUARE poprzez formularz kontaktowy, wiadomość e-mail lub telefonicznie na numer wskazany w stopce.

The materials and information posted on the SQUARE Legal website are provided for general information purposes only and do not constitute legal advice. SQUARE Legal and its employees are not responsible for any errors or deficiencies in the posted materials or information, and any actions taken based thereon.
Should you be interested in obtaining legal advice or information on issues discussed on the SQUARE Legal website, do not hesitate to contact us directly via phone, online contact form or e-mail.