Praktycznie pół roku dzieli nas od ostatecznego terminu implementacji dyrektywy NIS 2 do porządku prawnego państw członkowskich. Zapewne większość krajowych przedsiębiorstw, które zostaną objęte zakresem jej zastosowania, przygotowuje się do sprostania jej wymogom. Zasadnym natomiast jest rozważenie, czy przedsiębiorcy nieuwzględnieni w dyrektywie mogą czuć się zwolnieni z powinności krytycznego spojrzenia na poziom cyberbezpieczeństwa w prowadzonej działalności.
Główne założenia NIS 2
/>
Celem przypomnienia: dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (…) - tj. dyrektywa NIS 2, znacząco rozszerzyła katalog podmiotów zobowiązanych do jej stosowania. Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych ustąpił miejsca rozróżnieniu na podmioty kluczowe i ważne. Z jednej strony, dla ustalenia zakresu podmiotowego dyrektywy zastosowano kryterium wielkościowe, obejmując podmioty kwalifikujące się jako średnie przedsiębiorstwa (na podstawie art. 2 załącznika do zalecenia Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw), lub przekraczające progi dla średnich przedsiębiorstw. Z drugiej zaś, rozszerzeniu uległy katalog sektorów, jak również rodzaje usług w ramach danego sektora objętych zasięgiem postanowień dyrektywy. Zakresem NIS 2 objęto ponadto niektóre małe przedsiębiorstwa i mikroprzedsiębiorstwa, a to z uwagi na kluczową rolę dostarczanych przez nie produktów czy usług dla społeczeństwa, gospodarki, konkretnych jej sektorów lub rodzajów usług. Dodatkowo państwa członkowskie uzyskały uprawnienie do dalszego rozszerzenia zakresu zastosowania postanowień dyrektywy.
Nowe obowiązki
Szczególnej uwagi wymagają obowiązki nałożone na podmioty objęte dyrektywą NIS 2, zwłaszcza wymóg wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych ukierunkowanych na zapewnienie bezpieczeństwa sieci i systemów informatycznych. Zgodnie z postanowieniami NIS 2, środki te powinny być dostosowane do istniejących zagrożeń i uwzględniać stopień narażenia podmiotu na ryzyko oraz jego wielkość. Ponadto, wprowadzając środki zarządzania ryzykiem w cyberbezpieczeństwie, podmioty kluczowe i ważne powinny wziąć pod rozwagę prawdopodobieństwo wystąpienia incydentów oraz dotkliwość potencjalnych incydentów, w tym ich skutki społeczne i gospodarcze. Oceniając odpowiedniość i proporcjonalność środków, o których mowa powyżej, ww. podmioty powinny jednocześnie uwzględnić aktualny stan wiedzy, odpowiednie normy europejskie i międzynarodowe (w stosownych przypadkach) oraz koszty ich wdrożenia.
W porównaniu do dotychczasowo obowiązujących rozwiązań w zakresie bezpieczeństwa sieci i systemów informatycznych zaprojektowanie i wdrożenie systemu zarządzania ryzykiem w cyberbezpieczeństwie zgodnego z NIS 2 wymaga od podmiotów kluczowych i ważnych uwzględnienia bezpieczeństwa łańcucha dostaw, w tym relacji z ich bezpośrednimi dostawcami i usługodawcami. „Powyższy obowiązek stanowi pokłosie dostrzeżonych w ramach przeglądu dyrektywy NIS 1 niedociągnięć i braków uniemożliwiających skuteczne zaradzenie aktualnym wyzwaniom w zakresie cyberbezpieczeństwa - a to w kontekście ilości przypadków cyberataków na w/w podmioty, które zostały zainicjowane, bazując na podatnościach występujących w produktach i usługach podmiotów trzecich.
Następne kroki
Mając na uwadze zorientowanie dyrektywy na zapewnienie wysokiej ochrony sieci i systemów informatycznych, w pierwszej kolejności cyberbezpieczeństwo w łańcuchu dostaw uwzględnić powinno relacje z dostawcami usług lub produktów z branży technologii informacyjnych i komunikacyjnych. Przeciwdziałając ww. zjawisku, legislator unijny rozszerzył katalog usług cyfrowych, włączając przedsiębiorstwa świadczące takie usługi lub dostarczające produkty z tego sektora do grona podmiotów bezpośrednio podlegających postanowieniom dyrektywy. Niemniej jednak dyrektywa zawiera dodatkowe zalecenia związane z zarządzaniem cyberbezpieczeństwem w łańcuchu dostaw. Polegają one na uwzględnieniu w ramach analizy ryzyka ogólnej jakości i odporności produktów i usług, środków zarządzania ryzykiem w cyberbezpieczeństwie zastosowanych przez oferujące je podmioty, w tym w procesie ich opracowywania. Powyższe zalecenie zawarte w motywie 85 preambuły dyrektywy NIS 2 rekomenduje włączenie środków zarządzania ryzykiem w cyberbezpieczeństwie do postanowień umownych z bezpośrednimi dostawcami i usługodawcami, jak również zachęca do objęcia analizą ww. ryzyka dostawców i usługodawców z innych poziomów.
O tym, czy wspomniane powyżej zalecenia staną się prawnym obowiązkiem podmiotów kluczowych i ważnych, zadecyduje ustawodawca krajowy. Obecnie projekt ustawy implementującej NIS 2 do polskiego porządku prawnego nie został jeszcze opublikowany. Trudno zatem jednoznacznie wskazać jakiego typu podejście do zarządzania cyberbezpieczeństwem będzie oczekiwane od podmiotów objętych zakresem dyrektywy. Niewykluczonym pozostaje, że realizując wymogi prawne w zakresie cyberbezpieczeństwa, poruszane podmioty będą ze szczególną uwagą badać kwestie związane z cyberbezpieczeństwem w łańcuchu dostaw, wymagając od swoich dostawców i usługodawców stosownych gwarancji w zakresie wdrożenia odpowiednich środków zarządzania cyberbezpieczeństwem.
Z powyższego względu warto, aby przedsiębiorcy nieobjęci zakresem dyrektywy NIS 2 również przyjrzeli się zagadnieniu cyberbezpieczeństwa w prowadzonym biznesie. Brak obligu prawnego nie wyłącza bowiem negatywnego wpływu wdrożenia omawianej dyrektywy na ich konkurencyjność w niedalekiej perspektywie czasowej.
Autor: adwokat Kamila Kijek
Rubicon Legal
/>