Dyrektywa NIS2 w Polsce: założenia i stan prac nad jej implementacją

W obliczu rosnących zagrożeń w cyberprzestrzeni oraz dynamicznego rozwoju technologicznego, Unia Europejska zdecydowała się na nowelizację przepisów dotyczących bezpieczeństwa sieci i systemów informatycznych. Dyrektywa NIS2^[1] zastępuje dotychczas obowiązującą dyrektywę NIS1^[2], a także znacząco ją rozszerza, w szczególności w zakresie zarządzania ryzykiem wprowadzając szereg istotnych zmian i nowych wymogów dla państw członkowskich oraz podmiotów działających w kluczowych i ważnych sektorach gospodarki. Niniejszy artykuł ma na celu przybliżenie założeń tej regulacji i prac nad jej implementacją do polskiego porządku prawnego.

Kluczowe założenia Dyrektywy NIS2

Głównym celem Dyrektywy NIS2 jest ujednolicenie poziomu cyberbezpieczeństwa w całej UE oraz wzmocnienie ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki. Nowa dyrektywa wprowadza szereg istotnych zmian w porównaniu z poprzednią regulacją. Do najważniejszych zmian wprowadzonych w Dyrektywie NIS2 w porównaniu z Dyrektywą NIS 1 należą:

• rozszerzenie zakresu podmiotowego, obejmując swoim działaniem szerszy krąg sektorów. Oprócz sektorów takich jak energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, a także przestrzeń kosmiczna (podmioty kluczowe), dyrektywa obejmuje również dostawców usług pocztowych i kurierskich, przedsiębiorstw z sektora gospodarowania odpadami, produkcji, wytwarzania i dystrybucji chemikaliów, produkcji, przetwarzania i dystrybucji żywności, produkcji (m.in. urządzeń elektrycznych, sprzętu transportowego), dostawców usług cyfrowych, a także badań naukowych (organizacji badawczych) (podmioty ważne) Oznacza to, że wiele podmiotów, które dotychczas nie podlegały szczególnym regulacjom w zakresie cyberbezpieczeństwa, będzie musiało dostosować się do nowych wymogów;
• wzmocnienie wymogów bezpieczeństwa. Podmioty objęte regulacją są zobowiązane do wdrożenia zaawansowanych środków technicznych i organizacyjnych w celu zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania incydentów. Obejmuje to m.in. regularne oceny ryzyka, wdrożenie polityk bezpieczeństwa, zapewnienie ciągłości łańcucha dostaw oraz szkolenia dla pracowników. Nowe przepisy kładą nacisk na proaktywne podejście do zarządzania ryzykiem oraz ciągłe doskonalenie stosowanych środków ochrony;
• harmonizację sankcji za nieprzestrzeganie wymogów dyrektywy. Ustanowione zostały jednolite ramy sankcji, w tym kary pieniężne sięgające m.in. co najmniej do 10 mln EUR (podmioty kluczowe) oraz co najmniej do 7 mln EUR (podmioty ważne);
• rozszerzenie uprawnień organów nadzorczych w zakresie egzekwowania przepisów. Do uprawnień tych należy zaliczyć prowadzenie kontroli, audytów oraz żądanie od podmiotów udokumentowania realizacji przyjętych polityk cyberbezpieczeństwa.

Choć Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r., państwa członkowskie Unii Europejskiej, w tym Polska, mają czas do 17 października 2024 r. na jej implementację do krajowych porządków prawnych. W Polsce proces ten realizowany jest poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

Status wdrożenia Dyrektywy NIS2 w Polsce

Obserwując obecne tempo prac legislacyjnych, widać wyraźnie, że Polska nie zdąży z implementacją dyrektywy NIS2 w wyznaczonym terminie do 17 października 2024 r. W trakcie prac legislacyjnych powstały aż dwa projekty nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Pierwszy projekt^[3] został opublikowany i poddany szerokim konsultacjom społecznym, podczas których różne podmioty zgłosiły liczne uwagi i propozycje zmian. W odpowiedzi na zgłoszone postulaty, Ministerstwo Cyfryzacji przygotowało drugą wersję projektu ustawy^[4], starając się uwzględnić kluczowe sugestie interesariuszy.

Pierwszy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa spotkał się z szeroką krytyką ze strony przedsiębiorców i ekspertów branżowych. Zakładał on wprowadzenie bardzo restrykcyjnych regulacji, które w niektórych aspektach były surowsze niż wymogi samej Dyrektywy NIS2. Projekt przewidywał między innymi obowiązek stosowania określonych norm ISO jako podstawy domniemania zgodności z przepisami. Ponadto nakładał krótkie terminy na wykonanie pierwszego audytu (12 miesięcy) oraz częstsze jego powtarzanie (co 2 lata). Proponowane regulacje rozszerzały także katalog podmiotów objętych ustawą oraz wprowadzały rygorystyczne wymagania w zakresie bezpieczeństwa łańcucha dostaw. Te i inne postanowienia wzbudziły obawy o nadmierne obciążenia administracyjne i finansowe dla przedsiębiorstw, co skłoniło Ministerstwo Cyfryzacji do opracowania drugiej, bardziej zrównoważonej wersji projektu.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa z 7 października 2024 r. wprowadza istotne modyfikacje, które mają na celu ułatwienie przedsiębiorcom dostosowania się do nowych wymogów oraz lepsze odzwierciedlenie założeń Dyrektywy NIS2. Jedną z kluczowych zmian jest usunięcie przepisów dotyczących norm ISO i powiązanego z nimi domniemania zgodności. Wprowadzono natomiast obowiązek stosowania wytycznych opracowanych przez Komisję Europejską, co ma zapewnić jednolite standardy bezpieczeństwa na terenie całej Unii Europejskiej. Ponadto ujednolicono zgodnie z Dyrektywą NIS2, katalog sektorów kwalifikujących się do kategorii kluczowych i ważnych, a także graniczono wymogi dotyczące bezpieczeństwa łańcucha dostaw wyłącznie do bezpośrednich dostawców.

Szczególną uwagę warto zwrócić na kluczowe terminy ustawowe związane z realizacją nowych obowiązków. Po wejściu w życie ustawy, podmioty kluczowe i ważne będą miały 3 miesiące na złożenie wniosku o wpis do odpowiedniego wykazu podmiotów, licząc od tej daty lub od momentu spełnienia kryteriów uznania za taki podmiot. Na wdrożenie systemu zarządzania bezpieczeństwem informacji przewidziano dla nich 6 miesięcy od wejścia w życie ustawy lub od spełnienia tych kryteriów. Istotną zmianą jest także wydłużenie terminu na przeprowadzenie pierwszego audytu dla podmiotów kluczowych z 12 do 24 miesięcy, a okres ważności tego audytu został przedłużony z 2 do 3 lat. Te modyfikacje dają przedsiębiorstwom więcej czasu na dostosowanie się do nowych wymogów, co powinno ułatwić skuteczne wdrożenie niezbędnych środków bezpieczeństwa.

Obecnie projekt ustawy czeka na dalsze prace rządowe. Zgodnie z zapowiedziami Ministra Cyfryzacji, powinien on zostać przyjęty przez Radę Ministrów do końca roku i trafić do Sejmu na początku przyszłego roku.

Podsumowanie

Nowe regulacje wprowadzają szereg istotnych zmian, które mają na celu podniesienie poziomu ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki. W związku z tym z perspektywy przedsiębiorcy ważne jest, aby już teraz ocenić, na ile organizacja spełnia minimalne wymogi określone w Dyrektywie NIS2.

Przeprowadzenie takiej analizy pozwoli zidentyfikować ewentualne luki lub obszary wymagające poprawy w politykach i procedurach dotyczących cyberbezpieczeństwa. Wczesne przygotowanie i proaktywne podejście do nowych regulacji umożliwi nie tylko uniknięcie potencjalnych sankcji, ale także zwiększy odporność organizacji na cyberzagrożenia.

Zespół kancelarii BSJP bnt we współpracy ze specjalistami z zakresu cyberbezpieczeństwa zapewnia kompleksowe doradztwo w zakresie spełnienia wymogów określonych w Dyrektywie NIS2.  W razie jakichkolwiek pytań związanych ze zmianami zachęcamy do kontaktu z naszym ekspertem: Marcinem Krollem (marcin.kroll@bsjp.pl).