Czym jest Dyrektywa NIS2? Kogo ona dotyczy?
23 kwietnia 2024 r. udostępniono projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, którego celem jest wdrożenie do polskiego porządku prawnego nakazu regulacyjnego Dyrektywy NIS2. Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku.
Dyrektywa NIS2 jest rezultatem prac Unii Europejskiej w zakresie ochrony infrastruktury krytycznej. W dobie rozwoju digitalizacji ważnym aspektem jest zapewnienie bezpieczeństwa danych i systemów wykonawczych. Co dokładnie wprowadza dyrektywa NIS2 z 2023 roku?
Jakie są obowiązki nakładane na dostawców usług związanych z montażem instalacji elektrycznych? Przyjrzyjmy się bliżej nowym przepisom i zadaniom, które muszą zostać wprowadzone przez przedsiębiorstwa działające w cyfrowym świecie.
Celem dyrektywy NIS2 jest zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej poprzez wprowadzenie nowych wymogów dla podmiotów kluczowych i ważnych — przedsiębiorstw świadczących m.in. usługi cyfrowe i elektryczne. NIS2 wymienia jako podmioty kluczowe przedsiębiorstwa, które zajmują się usługami cyfrowymi.
Korzystając z urządzeń elektrycznych, przedsiębiorstwa powinny przestrzegać odpowiednich środków ochrony danych, zarządzania zdarzeniami, a także raportować incydenty do organów właściwych. Regulacje dyrektywy NIS2 ukierunkowane są głównie na podmioty gospodarcze o wielkości średniej i dużej. Tutaj skupimy się jedynie na oddziaływaniu regulacji na małych i mikro przedsiębiorców.
Jaki wpływ na małych i mikro przedsiębiorców z branży energetycznej będzie miało wejście w życie Dyrektywy NIS2 — nowelizacji z kwietnia 2024 roku?
Istotne jest, że podmiotem kluczowym w odniesieniu Dyrektywy NIS2 są podmioty będące co najmniej średnim przedsiębiorstwem, czyli takim, które zatrudnia co najmniej 50, a nie więcej niż 250 osób, jednakże jeżeli usługi są świadczone przez dostawców publicznych sieci łączności elektrycznej, nie stosuje się kryterium wielkości.
Kategoria ta będzie miała zastosowanie do podmiotów zajmujących się montażem instalacji elektrycznych, pomiarem elektrotechnicznym oraz projektowaniem sieci energetycznych lub instalacji. Dyrektywa nakłada jeden z podstawowych obowiązków zarówno na podmioty kluczowe, jak i ważne, jest nim wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych.
Jest to kluczowe dla zarządzania ryzykiem bezpieczeństwa sieci i systemów informatycznych używanych przez te podmioty oraz do prowadzenia działalności lub świadczenia usług. Wdrożenie odpowiednich środków ma na celu także zapobieganie wpływowi incydentów na odbiorców ich usług lub na minimalizowania takiego wpływu.
Środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami. Prawodawca nie sprecyzował środków dla każdej grupy podmiotów, wprowadził natomiast ich elastyczność, zastrzegając, że wprowadzone w danej organizacji środki zarządzania ryzykiem w cyberbezpieczeństwie mają być:
- proporcjonalne,
- uwzględniające stopień narażenia podmiotu na ryzyko,
- uwzględniające wielkość podmiotu,
- uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.
W ramach wdrożenia obowiązku prawidłowego zarządzania ryzykiem w cyberbezpieczeństwie dyrektywa wskazuje, iż konieczne jest stworzenie polityki analizy ryzyka i bezpieczeństwa systemów, obsługi incydentów, a także polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie.
Istotną kwestią jest również obowiązek zgłaszania incydentów.
Poważny incydent — czym jest?
Prawodawca unijny zdefiniował pojęcia, które pomogą w lepszym zrozumieniu naruszeń wynikających z prowadzonej działalności.
Z tego względu incydent został określony jako zdarzenie określające dostępność, autentyczność lub poufność przetwarzanych usług natomiast incydentem poważnym jest naruszenie, które może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu.
Po zaistnieniu incydentu usługodawca powinien niezwłocznie — w ciągu maksymalnie 24 godzin zgłosić wstępne ostrzeżenie do właściwego organu ze wskazaniem czy incydent mógł być spowodowany bezprawnym działaniem w złym zamiarze, natomiast w ciągu 72 godzin złożyć raport z ewentualną aktualizacją danych wskazanych w ostrzeżeniu i informacją o ocenie ważności naruszenia.
W przypadku incydentu możliwe jest także zwrócenie się organu o złożenie okresowego raportu z zaistniałych naruszeń. Konieczne jest także złożenie sprawozdania końcowego w ciągu 3 miesięcy od zdarzenia, w którym należałoby wskazać źródło naruszenia, jego opis, a także wdrożone środki ograniczające ryzyko i zaistniałe skutki.
Dyrektywa wspomina także o wsparciu właściwych organów poprzez przekazanie szeregu środków kontroli przedsiębiorców. Właściwe organy będą więc mogły egzekwować przestrzeganie przepisów i nakładać odpowiednie kary za niedostosowanie się do regulacji prawnych.
Dyrektywa NIS2, a obowiązek zarządzania łańcuchem dostawców i podwykonawców
Dyrektywa NIS2 w porównaniu do poprzedniej Dyrektywy NIS reguluje kwestie odpowiedzialności podmiotów kluczowych i ważnych związanej z zarządzaniem łańcucha dostaw.
Wyżej wspomniana regulacja NIS 2 reguluje bezpieczeństwo łańcucha dostaw, wprowadzając konieczność uregulowania przez podmioty ważne i kluczowe kwestii ich relacji z wykonawcami/podwykonawcami.
Wynikający stąd obowiązek stworzenia polityk i procedur zarządzania ryzykiem obliguje dostawców do prawnego uregulowania ich współpracy z innymi podmiotami.
Zgodnie z postanowieniami dyrektywy NIS2, podmioty kluczowe oraz ważne będą zobowiązane do wprowadzenia adekwatnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, wykorzystywanych przez nie do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług, lub na inne usługi bądź minimalizowania takiego wpływu.
Przygotowując się do spełnienia ww. wymogu, warto posiłkować się wydawanymi wytycznymi przez organy np. ENISA, w szczególności dokument z dnia 13 czerwca 2023 r. „Zestaw Dobrych Praktyk w Zakresie Bezpieczeństwa Łańcucha Dostaw” („Good Practices For Supply Chain Cybersecurity”) zawiera cenne wskazówki dla podmiotów.
Podsumowanie— kogo dotyczy dyrektywa NIS2?
Reasumując przedsiębiorcy zajmujący się usługami związanymi z zakładaniem lub obsługą instalacji elektrycznych, pomiarem elektrotechnicznym oraz projektowaniem sieci energetycznych lub instalacji, w szczególności na zlecenie przedsiębiorstw podlegających pod obowiązki, o których mowa powyżej, powinni przeanalizować problem wystąpienia incydentów w związku z ich prowadzoną działalnością.
W ramach zawieranych z takimi podmiotami umów mogą zostać nałożone na nich dodatkowe wymogi prawne, w szczególności dot. obowiązku raportowania o incydentach. Usługodawca, który będzie zobowiązany do raportowania zdarzeń do organu w terminie 24 lub 72 godz. będzie bowiem zobowiązany przekazać wszelkie informacje wymagane przepisami, które z pewnością będzie chciał pozyskać od swoich podwykonawców w terminie pozwalającym mu zachować ww. termin. Umowy takie będą prawdopodobnie przewidywać jeszcze krótsze terminy reakcji na powiadomienie usługodawcy przez podwykonawcę (małego przedsiębiorcę).
Podmioty obowiązane podlegające pod NIS2 powinny opracować system, który mógłby zapobiec powstawaniu incydentów oraz utworzyć polityki i regulacje wykonywania ich pracy, które nie powodowałyby zagrożenia wystąpienia naruszeń.
W zakresie wsparcia Państwa w analizie umów lub przygotowania stosownych regulacji zachęcamy do kontaktu z kancelarią.
opracowanie: apl. radc. Weronika Gocyk z Kancelarii Prawnej „CKC SOLUTION”
Komentarze (0)