W obliczu rosnących zagrożeń w cyberprzestrzeni oraz dynamicznego rozwoju technologicznego, Unia Europejska zdecydowała się na nowelizację przepisów dotyczących bezpieczeństwa sieci i systemów informatycznych. Dyrektywa NIS2[1] zastępuje dotychczas obowiązującą dyrektywę NIS1[2], a także znacząco ją rozszerza, w szczególności w zakresie zarządzania ryzykiem wprowadzając szereg istotnych zmian i nowych wymogów dla państw członkowskich oraz podmiotów działających w kluczowych i ważnych sektorach gospodarki. Niniejszy artykuł ma na celu przybliżenie założeń tej regulacji i prac nad jej implementacją do polskiego porządku prawnego.
Kluczowe założenia Dyrektywy NIS2
Głównym celem Dyrektywy NIS2 jest ujednolicenie poziomu cyberbezpieczeństwa w całej UE oraz wzmocnienie ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki. Nowa dyrektywa wprowadza szereg istotnych zmian w porównaniu z poprzednią regulacją. Do najważniejszych zmian wprowadzonych w Dyrektywie NIS2 w porównaniu z Dyrektywą NIS 1 należą:
Choć Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r., państwa członkowskie Unii Europejskiej, w tym Polska, mają czas do 17 października 2024 r. na jej implementację do krajowych porządków prawnych. W Polsce proces ten realizowany jest poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
Status wdrożenia Dyrektywy NIS2 w Polsce
Obserwując obecne tempo prac legislacyjnych, widać wyraźnie, że Polska nie zdąży z implementacją dyrektywy NIS2 w wyznaczonym terminie do 17 października 2024 r. W trakcie prac legislacyjnych powstały aż dwa projekty nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Pierwszy projekt[3] został opublikowany i poddany szerokim konsultacjom społecznym, podczas których różne podmioty zgłosiły liczne uwagi i propozycje zmian. W odpowiedzi na zgłoszone postulaty, Ministerstwo Cyfryzacji przygotowało drugą wersję projektu ustawy[4], starając się uwzględnić kluczowe sugestie interesariuszy.
Pierwszy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa spotkał się z szeroką krytyką ze strony przedsiębiorców i ekspertów branżowych. Zakładał on wprowadzenie bardzo restrykcyjnych regulacji, które w niektórych aspektach były surowsze niż wymogi samej Dyrektywy NIS2. Projekt przewidywał między innymi obowiązek stosowania określonych norm ISO jako podstawy domniemania zgodności z przepisami. Ponadto nakładał krótkie terminy na wykonanie pierwszego audytu (12 miesięcy) oraz częstsze jego powtarzanie (co 2 lata). Proponowane regulacje rozszerzały także katalog podmiotów objętych ustawą oraz wprowadzały rygorystyczne wymagania w zakresie bezpieczeństwa łańcucha dostaw. Te i inne postanowienia wzbudziły obawy o nadmierne obciążenia administracyjne i finansowe dla przedsiębiorstw, co skłoniło Ministerstwo Cyfryzacji do opracowania drugiej, bardziej zrównoważonej wersji projektu.
Projekt ustawy o krajowym systemie cyberbezpieczeństwa z 7 października 2024 r. wprowadza istotne modyfikacje, które mają na celu ułatwienie przedsiębiorcom dostosowania się do nowych wymogów oraz lepsze odzwierciedlenie założeń Dyrektywy NIS2. Jedną z kluczowych zmian jest usunięcie przepisów dotyczących norm ISO i powiązanego z nimi domniemania zgodności. Wprowadzono natomiast obowiązek stosowania wytycznych opracowanych przez Komisję Europejską, co ma zapewnić jednolite standardy bezpieczeństwa na terenie całej Unii Europejskiej. Ponadto ujednolicono zgodnie z Dyrektywą NIS2, katalog sektorów kwalifikujących się do kategorii kluczowych i ważnych, a także graniczono wymogi dotyczące bezpieczeństwa łańcucha dostaw wyłącznie do bezpośrednich dostawców.
Szczególną uwagę warto zwrócić na kluczowe terminy ustawowe związane z realizacją nowych obowiązków. Po wejściu w życie ustawy, podmioty kluczowe i ważne będą miały 3 miesiące na złożenie wniosku o wpis do odpowiedniego wykazu podmiotów, licząc od tej daty lub od momentu spełnienia kryteriów uznania za taki podmiot. Na wdrożenie systemu zarządzania bezpieczeństwem informacji przewidziano dla nich 6 miesięcy od wejścia w życie ustawy lub od spełnienia tych kryteriów. Istotną zmianą jest także wydłużenie terminu na przeprowadzenie pierwszego audytu dla podmiotów kluczowych z 12 do 24 miesięcy, a okres ważności tego audytu został przedłużony z 2 do 3 lat. Te modyfikacje dają przedsiębiorstwom więcej czasu na dostosowanie się do nowych wymogów, co powinno ułatwić skuteczne wdrożenie niezbędnych środków bezpieczeństwa.
Obecnie projekt ustawy czeka na dalsze prace rządowe. Zgodnie z zapowiedziami Ministra Cyfryzacji, powinien on zostać przyjęty przez Radę Ministrów do końca roku i trafić do Sejmu na początku przyszłego roku.
Podsumowanie
Nowe regulacje wprowadzają szereg istotnych zmian, które mają na celu podniesienie poziomu ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki. W związku z tym z perspektywy przedsiębiorcy ważne jest, aby już teraz ocenić, na ile organizacja spełnia minimalne wymogi określone w Dyrektywie NIS2.
Przeprowadzenie takiej analizy pozwoli zidentyfikować ewentualne luki lub obszary wymagające poprawy w politykach i procedurach dotyczących cyberbezpieczeństwa. Wczesne przygotowanie i proaktywne podejście do nowych regulacji umożliwi nie tylko uniknięcie potencjalnych sankcji, ale także zwiększy odporność organizacji na cyberzagrożenia.
Zespół kancelarii BSJP bnt we współpracy ze specjalistami z zakresu cyberbezpieczeństwa zapewnia kompleksowe doradztwo w zakresie spełnienia wymogów określonych w Dyrektywie NIS2. W razie jakichkolwiek pytań związanych ze zmianami zachęcamy do kontaktu z naszym ekspertem: Marcinem Krollem (marcin.kroll@bsjp.pl).
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
[3] Projekt ustawy z dnia 24 kwietnia 2024 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw https://legislacja.gov.pl/projekt/12384504/katalog/13055207
[4] Projekt ustawy z dnia 3 października 2024 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html
