Stosowanie się do wymogów cyberbezpieczeństwa wobec rosnącej liczby cyberataków będzie istotne dla kwestii wizerunkowych i finansowych wielu podmiotów gospodarczych..

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2), a w ślad za nią projekt nowelizacji ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (u.k.s.c.) istotnie modyfikują ramy systemu cyberbezpieczeństwa. Wymagania i obowiązki zostaną zwiększone, mają też objąć szerszy zakres podmiotów, jednak konsekwencje wprowadzanych zmian mogą sięgnąć dalej.

Projekt nowelizacji u.k.s.c. proponuje rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki. Do sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej zgodnie z dyrektywą NIS 2 w nowelizacji dodano sektory: gospodarowanie odpadami, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności. Dyrektywa NIS 2 wprowadza podział na podmioty kluczowe i podmioty ważne. Z kolei polski ustawodawca, implementując dyrektywę, uznał, że głównym kryterium podziału będzie wielkość podmiotu. I tak co do zasady podmioty, które spełniają warunki dla średniego przedsiębiorstwa, uznawane są za podmioty ważne, a te, które przewyższają te warunki, uznawane są za podmioty kluczowe. Nie ma znaczenia to, w jakiej branży działają.

Istotna zmiana dotyczy nowych obowiązków nałożonych na podmioty kluczowe i ważne. Podstawowym będzie wdrożenie systemu zarządzania bezpieczeństwem informacji. Zgodnie z projektem nowelizacji u.k.s.c. w ramach tego systemu zarządzania bezpieczeństwem informacji konieczne będzie prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Podmioty obowiązane powinny zatem wprowadzić odpowiednią politykę w tym zakresie. Następnie niezbędne będzie wdrożenie odpowiednich środków technicznych i organizacyjnych na podstawie oszacowanego ryzyka. Ustawodawca w projekcie nowelizacji wskazuje minimalny zakres tego wdrożenia, który obejmuje politykę bezpieczeństwa systemu informacyjnego, politykę bezpieczeństwa i ciągłość łańcucha dostaw produktów, usług i procesów ICT, plan ciągłości działania (w tym plany awaryjne umożliwiające odtworzenie systemu informacyjnego po katastrofie), politykę cyberhigieny (dla personelu) oraz politykę stosowania kryptografii, w tym szyfrowania.

Dyrektywa NIS 2, a w ślad za nią projekt nowelizacji u.k.s.c. kładą duży nacisk na konieczność zapewnienia bezpieczeństwa łańcucha dostaw. Nowa regulacja z jednej strony zobowiązuje podmioty ważne i kluczowe do zapewnienia odpowiednich środków w zakresie bezpieczeństwa łańcucha dostaw, z drugiej strony na niektórych dostawców usług IT jako na podmioty kluczowe lub ważne nakłada szereg obowiązków. Rozwijająca się współpraca i powiązania pomiędzy podmiotami gospodarki sprawiają, że bezpieczeństwo jednego z tych podmiotów zależy od poziomu bezpieczeństwa zapewnionego przez podmioty trzecie: dostawców towarów, rozwiązań czy usług. Wprowadzenie odpowiednich środków pozwalających na zabezpieczenie przed cyberatakami poszczególnych elementów łańcucha dostaw jest szczególnie istotne. Za równie ważne uznaje się wdrożenie adekwatnych rozwiązań pozwalających na niwelowanie skutków takich ataków.

Z preambuły do dyrektywy NIS 2 wynika, że podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez poszczególnych dostawców rozwiązań ICT. Preambuła zawiera także rekomendację, aby podmioty kluczowe i ważne w umowach z dostawcami uwzględniały zapewnienie odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. Jak powyższe rekomendacje wpłyną na faktyczne działania podmiotów obowiązanych?

Środki wdrażane i podejmowane przez podmioty kluczowe i ważne wobec dostawców powinny być adekwatne i proporcjonalne, zarówno do wielkości organizacji, stopnia narażenia na zagrożenia cyberbezpieczeństwa, jak i charakteru współpracy. W pierwszej kolejności wybór dostawcy powinien zostać poprzedzony analizą i szacowaniem ryzyka związanego z konkretnym dostawcą. Może się to odbywać na podstawie ankiet dotyczących cyberbezpieczeństwa lub wyciągu z polityk bezpieczeństwa wdrożonych u dostawcy – wszystko po to, aby podmioty kluczowe i ważne mogły oszacować ryzyka związane z planowaną współpracą oraz zdolność dostawcy w radzeniu sobie z zagrożeniami cyberbezpieczeństwa. Po drugie, przy zawieraniu umów z wybranym dostawcą podmioty kluczowe i ważne powinny dążyć do wprowadzenia odpowiednich postanowień umownych, w których zostaną ustalone wymagania w zakresie cyberbezpieczeństwa. Możliwe jest również wprowadzenie kar umownych za nieprzestrzeganie tych wymagań, a w przypadku poważnych, powtarzających się naruszeń – postanowienie pozwalające na rozwiązanie takiej umowy ze skutkiem natychmiastowym. Po trzecie, na etapie realizacji kontraktu podmiot kluczowy i ważny powinien zapewnić egzekwowanie postanowień umownych oraz monitorować dostawców. Jeśli w umowie została przewidziana możliwość przeprowadzenia audytu – zamawiający powinien z takiego prawa skorzystać. Cała procedura wyboru dostawcy aż do zarządzania kontraktem i wyjścia z niego powinna stanowić element systemu zarządzania bezpieczeństwem.

Powyższe obowiązki dotyczące zapewnienia przez podmioty kluczowe i ważne bezpieczeństwa i ciągłości łańcuchów dostaw mogą spowodować, że również dostawcy będą zobligowani do zapewniania odpowiednich środków w zakresie cyberbezpieczeństwa. Wystąpi efekt domina: podmiot nieobjęty obowiązkami wynikającymi z nowelizacji u.k.s.c. zostanie zmuszony do ich zastosowania, aby utrzymać dotychczasowych klientów lub pozyskać nowych. Dla wielu dostawców może się to wiązać z wdrożeniem przynajmniej niektórych elementów systemu zarządzania bezpieczeństwem informacji, aby nie zostać pominiętym przy zamówieniach ze strony zamawiających objętych obowiązkami z NIS 2/ znowelizowanej u.k.s.c.

Zatem z jednej strony obowiązki te będą musiały zostać wypełnione przez podmioty kluczowe i ważne, a w konsekwencji – przez ich dostawców. Z drugiej strony stosowanie się do wymogów cyberbezpieczeństwa wobec rosnącej liczby cyberataków będzie istotne dla kwestii wizerunkowych i finansowych wielu podmiotów gospodarczych. Nie należy zapominać również o tym, że atak hakerski powodujący utratę, brak integralności lub ujawnienie informacji dotyczących tajemnicy przedsiębiorstwa może przynieść negatywne konsekwencje w wielu obszarach funkcjonowania przedsiębiorstwa.

Dyrektywa NIS 2 powinna zostać zaimplementowana do porządku prawnego państw członkowskich (w tym do polskiego porządku prawnego) do 17 października 2024 r. Opublikowany w kwietniu projekt nowelizacji u.k.s.c. jest już po zakończonym etapie opiniowania i konsultacji publicznych. Rośnie też świadomość społeczeństwa co do zagrożeń związanych z cyberatakami. Przedsiębiorców wracających z urlopów czeka zatem pracowita jesień, bo wdrożenie systemu zarządzania cyberbezpieczeństwem stanie się niebawem standardem rynkowym. ©℗

Wprowadzenie odpowiednich środków pozwalających na zabezpieczenie przed cyberatakami poszczególnych elementów łańcucha dostaw jest szczególnie istotne. Podobnie jak wdrożenie adekwatnych rozwiązań pozwalających na niwelowanie skutków takich ataków