Tworzenie planów zarządzania incydentami i wzmacnianie cyberbezpieczeństwa wg NIS 2

Co reguluje Dyrektywa NIS 2?

Państwa członkowskie Unii Europejskiej już dobrych kilka lat temu postanowiły uregulować w sposób jednolity kwestie cyberbezpieczeństwa we wspólnocie. W tym celu przyjęły najpierw Dyrektywę w sprawie bezpieczeństwa sieci i informacji tzw. Dyrektywę NIS 1¹, którą wprowadzono szereg obowiązków w zakresie dbałości o cyberbezpieczeństwo i zarządzanie ryzykiem incydentów dla tzw. operatorów usług kluczowych. Byli to m.in. przedsiębiorcy dostarczający energię, wodę, prąd czy usługi bankowości oraz dla podmioty świadczące usługi cyfrowe (usługi chmury obliczeniowej, platformy ecommerce itp.). Powyżej wskazane przedsiębiorstwa zostały zobligowane do wdrożenia wyższych standardów bezpieczeństwa i procedur związanych z zarządzaniem incydentami. Do polskiego systemu prawnego Dyrektywa NIS 1 została zaimplementowany przepisami Ustawy o krajowym systemie cyberbezpieczeństwa.²

W 2023 roku w ustawodawstwie unijnym pojawiła się dyrektywa nowelizująca NIS1, tj. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, zwana Dyrektywą NIS 2³ (Network and Information Security Directive 2). Unijny ustawodawca doszedł do wniosku, że zakres pierwotnej dyrektywy należy rozszerzyć – objąć jej zakresem większą liczbę podmiotów gospodarczych, a także zharmonizować wymogi oraz pogłębić współpracę międzynarodową w tym zakresie. Niejasne uregulowanie pewnych kwestii doprowadziło bowiem do nierówności w zakresie dostosowania prawa państw członkowskich do dyrektywy.

Dyrektywa NIS 2 odnosi się obecnie do takich kwestii jak m.in. regulacje w zakresie cyberbezpieczeństwa, środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki związane ze zgłaszaniem incydentów w tym zakresie, a także kształtuje ramy współpracy międzypaństwowej, w tym wymianę informacji i nadzór nad przestrzeganiem dyrektywy.

Dyrektywa NIS 2 weszła w życie w 2023 roku, ale państwa członkowskie otrzymały dość długi okres na implementację jej postanowień do swoich porządków prawnych. Polski ustawodawca przystąpił także do nowelizowania Ustawy o krajowym systemie cyberbezpieczeństwa. Wstępnie zapowiedziano, że miałaby zostać przyjęta w październiku 2024 roku, a jej przepisy weszłyby w życie w 2025 roku. W dniu 3 października opublikowany został kolejny tekst projektu.

Kto zobowiązany jest ją stosować?

Dyrektywa NIS 2, w porównaniu do swojej poprzedniczki, jest skierowana do większej ilości podmiotów. Swoim zakresem obejmuje szereg podmiotów prywatnych i publicznych, których lista znajduje się w załącznikach do Dyrektywy. W szczególności warto wskazać tutaj podmioty gospodarcze działające w sektorach o wysokim stopniu krytyczności dla stabilności i bezpieczeństwa państwowego, m.in. :

• Przedsiębiorstwa energetyczne,
  
• Przedsiębiorstwa grzewcze i chłodnicze,
  
• Przedsiębiorstwa gazowe i paliwowe,
  
• Przedsiębiorstwa transportowe
  
• Przedsiębiorstwa działające w sektorze bankowości, finansów i rynków kapitałowych,
  
• Instytucje świadczące opiekę zdrowotną,
  
• Przedsiębiorstwa wodociągowe i kanalizacyjne,
  
• Dostawcy usług cyfrowych, m.in. chmur obliczeniowych i łączności)
  
• Przedsiębiorstwa komunalne,
  
• Podmioty oferujące usługi pocztowe,
  
• Przedsiębiorstwa produkcyjne, zajmujące się wytwarzaniem m.in. substancji chemicznych, wyrobów medycznych, żywności, elektroniki, pojazdów, czy usług cyfrowych.
  

Wszystkie ww. podmioty Dyrektywa klasyfikuje na dwie kategorie:

• Podmioty kluczowe – są to przede wszystkim przedsiębiorstwa duże, tzn. zatrudniające powyżej 250 pracowników, osiągające roczne przychody na poziomie 10 milionów euro, lub o rocznej sumie bilansowej do 43 milionów złotych. Niezależnie od wielkości przychodów czy zatrudnienia, każdorazowo podmiotem kluczowym będzie także firma zajmująca się dostawą określonych usług cyfrowych m.in. sieci łączności, kwalifikowanych usług zaufania czy domen.
  
• Podmioty ważne – w myśl Dyrektywy są to przedsiębiorstwa kwalifikujące się jako mikro, małe lub średnie. Niezależnie od głównych wytycznych Ministerstwo Cyfryzacji może zadecydować o zakwalifikowaniu MŚP zarówno do kategorii podmiotów kluczowych jak i ważnych, jeśli będą one spełniać określone kryteria.
  

Powyższy podział będzie miał znaczenie w szczególności z perspektywy stosowania Dyrektywy. Nadzór nad wypełnianiem zobowiązań nałożonych Dyrektywą na podmioty kluczowe jest zdecydowanie silniejszy, co przekłada się także na ewentualną wysokość kar za niedopełnienie obowiązków. Podmioty co do zasady dokonują jednak samooceny w zakresie przynależności do jednej lub drugiej kategorii – po dokonaniu takiej autoidentyfikacji każdy podmiot powinien dokonać wpisu do odpowiedniego rejestru prowadzonego przez Ministra Cyfryzacji.

Dyrektywa NIS 2 nie znajdzie zastosowania do przedsiębiorców obsługujących wyłącznie podmioty administracji publicznej zajmujących się zapewnieniem bezpieczeństwa państwowego, a także tych firm, które zostaną zwolnione z obowiązków na bazie przepisów DORA.

Wytyczne dotyczące cyberbezpieczeństwa

Zarówno podmioty ważne jak i kluczowe zobligowane zostały przepisami Dyrektywy do wprowadzenia w ramach swoich organizacji środków cyberbezpieczeństwa natury organizacyjnej, technicznej i zarządczej. Mogą jednak zachować stosowną elastyczność i dostosować ww. środki przez pryzmat skali prowadzonej działalności, wielkości przedsiębiorstwa, poziomu ryzyka czy prawdopodobieństwo wystąpienia potencjalnego cyber-incydentu.

Wśród obowiązków mających zapewnić przedsiębiorstwu cyberbezpieczeństwo, Dyrektywa w art. 21 ust. 2 w szczególności wskazuje na:

• Konieczność przeprowadzenia analizy ryzyka i bezpieczeństwa systemów informatycznych, z których korzysta podmiot – to pozwoli na wykrycie obszarów potencjalnie najbardziej wrażliwych na ataki i incydenty oraz pozwoli podjąć środki zmierzające do zmitygowania tego ryzyka.
  
• Przedsiębiorstwa powinny zagwarantować, że posiadają odpowiednie procedury i systemy pozwalające na obsługę ewentualnych incydentów bezpieczeństwa – na ich wykrycie, zabezpieczenie i usunięcie ewentualnych skutków,
  
• Podmioty zobligowane są posiadać plany ciągłości działania – są to procedury wewnętrzne, których zasadniczym celem jest przygotowanie planów awaryjnych na wypadek nieprzewidzianych zdarzeń – takich jak pandemie, katastrofy czy innego typu incydenty. Wśród elementów takiego planu warto wskazać: konieczność zidentyfikowania krytycznych punktów działalności, strategie pozwalające na odtworzenie możliwości prowadzenia biznesu, a także zasady regularnego testowania planów na okoliczność ziszczenia się opisanych w procedurze scenariuszy.
  
• Obowiązek zabezpieczenia łańcucha dostaw oraz procesów nabywania, rozwoju i utrzymania sieci i systemów informatycznych;
  
• Wdrożenie procedur w zakresie zarządzania ryzykiem ewentualnych incydentów oceny skuteczności środków zarządzania ryzykiem oraz dotyczące stosowanej w firmie kryptografii (szyfrowania danych),
  
• Procedury w zakresie dokształcania pracowników z bezpiecznego korzystania z zasobów,
  
• Przeprowadzanie audytów bezpieczeństwa.
  

Tworzenie planów zarządzania incydentami

Jednym z najważniejszych wymogów Dyrektywy NIS 2 jest zgłaszanie incydentów cyberbezpieczeństwa. Na tę okoliczność, podmioty zobowiązane do stosowania NIS 2, powinny przygotować plan zarządzania incydentami. Co powinien uwzględniać?

• Identyfikacja poważnych incydentów: zgodnie z przepisami Dyrektywy, incydent uznaje się za poważny, jeżeli ma istotny wpływ na świadczenie usług tj. mógłby spowodować lub powoduje krytyczne zakłócenia działalności operacyjnej podmiotu i/lub może spowodować znaczne szkody (majątkowe i niemajątkowe) w podmiocie lub u osób fizycznych. Matryca służąca identyfikacji incydentów będzie narzędziem niezwykle ważnym, gdyż z zasady tylko incydenty zidentyfikowane jako poważne podlegają obligatoryjnie zgłoszeniu do odpowiedniego organu;
  
• Czas na informowanie o poważnym incydencie: w przypadku wykrycia incydentu poważnego, firma bezzwłocznie (nie później niż w ciągu 24 godzin) wysyła organowi ostrzeżenie o wystąpieniu incydentu i jego ewentualnych konsekwencjach, a do 72 godzin zgłasza incydent i uaktualnia informacje na jego temat przekazując jego ocenę; ważne jest zatem, aby firma w ramach swojej organizacji zbudowała sprawy system informowania o cyberatakach;
  
• Wyznaczenie osoby odpowiedzialnej za nadzór na procesem: każdy przedsiębiorca obowiązkowo wyznacza osobę sprawującą kontrolę oraz zatwierdzającą stosowane w firmie systemy bezpieczeństwa;
  
• Sposób informowania organów: w toku zarządzania incydentem przedsiębiorca powinien informować o przebiegu procesu i okolicznościach towarzyszących zdarzeniu, a także o sposobie reakcji na skutki zdarzenia. W ramach całego procesu składa sprawozdania okresowe oraz sprawozdanie końcowe, nie później niż miesiąc po zgłoszeniu incydentu.
  
• Sposób informowania osób dotkniętych incydentem: plan zarządzania incydentem powinien poświęcić kilka zapisów na uregulowanie sposobu i terminu przekazywania informacji o cyberataku do osób, które korzystają z usług przedsiębiorcy oraz o potencjalnych, możliwych konsekwencjach tego ataku dla odbioru tychże usług i zastosowanych środkach zaradczych;
  
• Narzędzia do zapobiegania incydentom oraz do zarządzania nimi: Dyrektywa nakłada na przedsiębiorców obowiązek wdrożenia środków technicznych, które mają zapobiegać albo też łagodzić skutki potencjalnych cyberataków; w ramach planu zarządzania incydentami powinny zostać one wskazane wraz z zakresem zastosowania. Mogą to być m.in. systemy detekcyjne, firewalle, systemy kryptograficzne, antywirusy i oprogramowania, monitoring.
  
• Metody zarządzania incydentami: w ramach każdej organizacji należy ustalić w jaki sposób realizacja zaleceń oraz obsługa incydentu się odbywa, kto jest za to odpowiedzialny oraz w jaki sposób i w jakim terminie należy zrealizować zalecenia i zapobiec skutkom incydentu.
  

Wnioski

Aby przygotować się do wdrożenia Dyrektywy NIS 2 należy rozpocząć od znalezienia fachowego doradcy, który pomoże firmie przejść przez etap samoanalizy, zakwalifikować się do odpowiedniej kategorii podmiotów, a następnie wdrożyć – przy zastosowaniu zasady proporcjonalności – wymogów przewidzianych w akcie.

Oczekując na nowelizację Ustawy o krajowym systemie cyberbezpieczeństwa, warto zawczasu przygotować także dokumentację, której wymaga NIS 2. Nasi prawnicy, doświadczeni we wdrażaniu wytycznych wynikających z prawa wspólnotowego, są gotowi świadczyć Państwu niezbędną pomoc i wsparcie w całym procesie dostosowania się do standardów wynikających z Dyrektywy.

¹Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

²Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

³Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)

Pytania i odpowiedzi

Zaufali nam