enOmówienie kluczowych elementów regulacji
Cel regulacyjny
Komisja Europejska zwraca uwagę, że Dyrektywa NIS2 ma na celu usunięcie braków, które wynikały z regulacji NIS. W szczególności dyrektywa NIS2 rozszerza zakres poprzednich przepisów, dodając nowe sektory w zależności od ich stopnia cyfryzacji i wzajemnych powiązań oraz tego, jak istotne są one dla gospodarki i społeczeństwa, wprowadzając wyraźną zasadę progu wielkości. W uproszczeniu oznacza to, że zakresem objęte zostaną przedsiębiorstwa średniej (co najmniej) wielkości z wybranych sektorów. Jednocześnie pozostawia państwom członkowskim pewną swobodę w zakresie identyfikowania mniejszych podmiotów o wysokim profilu ryzyka bezpieczeństwa, które również powinny być objęte obowiązkami nowej dyrektywy.
Kategorie podmiotów
Nowa dyrektywa eliminuje również rozróżnienie między operatorami usług kluczowych a dostawcami usług cyfrowych. Podmioty będą klasyfikowane na podstawie ich znaczenia i podzielone na dwie kategorie: podmioty istotne i ważne, które będą podlegały różnym reżimom nadzoru.
Wymagania dotyczące bezpieczeństwa
Dyrektywa NIS2 wzmacnia i usprawnia wymogi dotyczące bezpieczeństwa i raportowania dla firm, narzucając podejście do zarządzania ryzykiem, które zapewnia minimalną listę podstawowych elementów bezpieczeństwa, które należy zastosować. Nowa dyrektywa wprowadza bardziej precyzyjne przepisy dotyczące procesu zgłaszania incydentów, treści raportów i terminów.
NIS2 zawiera listę 10 kluczowych elementów, które wszystkie firmy muszą uwzględnić lub wdrożyć w ramach podejmowanych przez siebie środków, w tym obsługa incydentów, bezpieczeństwo łańcucha dostaw, obsługa i ujawnianie luk w zabezpieczeniach, stosowanie kryptografii i w stosownych przypadkach, szyfrowanie.
Istotnym elementem NIS2 jest kwestia bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, wymagając od poszczególnych firm zajęcia się ryzykami cyberbezpieczeństwa w łańcuchach dostaw i relacjach z dostawcami. Dodatkowo Państwa członkowskie we współpracy z Komisją i ENISA mogą przeprowadzać na szczeblu unijnym skoordynowane oceny ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, opierając się na skutecznym podejściu przyjętym w kontekście zalecenia Komisji w sprawie cyberbezpieczeństwa sieci 5G.
Raportowanie incydentów
Dyrektywa NIS2 przewiduje wieloetapowe podejście do zgłaszania incydentów. Dotknięte przedsiębiorstwa mają 24 godziny od chwili, gdy po raz pierwszy dowiedzą się o incydencie, na przesłanie wczesnego ostrzeżenia do zespołu CSIRT lub właściwego organu krajowego, co umożliwi im również zwrócenie się o pomoc do tych jednostek (wytyczne lub porady operacyjne dotyczące wdrożenia ewentualnych środków mitygujących ryzyk). Po wczesnym ostrzeżeniu powinno nastąpić
powiadomienie o incydencie w ciągu 72 godzin od uzyskania informacji o incydencie oraz raport końcowy nie później niż miesiąc później.
Koordynacja w zakresie podatności
NIS2 ustanawia również wraz z odpowiedzialnymi kluczowymi podmiotami podstawowe ramy dotyczące skoordynowanego ujawniania podatności w całej UE oraz tworzy unijną bazę danych na temat podatności na zagrożenia obejmującą publicznie znane luki w produktach i usługach ICT, którą będzie obsługiwała i utrzymywała Agencja UE ds. Cyberbezpieczeństwa (ENISA).
Egzekwowanie
Dyrektywa wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, bardziej rygorystyczne wymogi w zakresie egzekwowania prawa. Dodatkowo NIS2 ma na celu ujednolicenie systemów sankcji we wszystkich państwach członkowskich. Wzmacnia także rolę grupy współpracy w kształtowaniu strategicznych decyzji politycznych oraz zwiększa wymianę informacji i współpracę między organami państw członkowskich. Wzmacnia także współpracę operacyjną w ramach sieci CSIRT i ustanawia europejską sieć organizacji łącznikowych ds. kryzysu cybernetycznego (EU-CyCLONe), aby wspierać skoordynowane zarządzanie incydentami i kryzysami cybernetycznymi na dużą skalę.
Aktualizacja: 2024-02-27