Wdrożenie NIS 2 w Polsce. Projekt ustawy o cyberbezpieczeństwie na etapie I czytania

Przeczytaj także: 36% firm nie wie, czy obejmuje je dyrektywa NIS2

W Polsce trwają prace nad wdrożeniem przepisów dostosowujących krajowe prawo do unijnej dyrektywy NIS 2, której celem jest podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich UE. Choć termin na przyjęcie ustawodawstwa minął w październiku 2024 r., Polska nie zdążyła go dotrzymać, ale gotowy jest już ostateczny projekt ustawy i 17 listopada został skierowany do pierwszego czytania w Sejmie. Nowe regulacje mogą wkrótce zacząć obowiązywać.

W dobie rosnącej automatyzacji, cyfryzacji procesów i wykorzystania sztucznej inteligencji przedsiębiorstwa rozwijają się szybciej niż kiedykolwiek wcześniej. Jednak wraz z postępem technologicznym, właściciele firm rzadko zdają sobie sprawę z zagrożeń, które za tym idą.

W styczniu 2023 roku, weszła w życie Dyrektywa NIS 2, której celem jest podniesienie poziomu cyberbezpieczeństwa w krajach członkowskich Unii Europejskiej. Na wdrożenie jej w życie do prawa krajowego, kraje członkowskie UE mają 21 miesięcy, więc Polska jest już ponad rok po terminie. 4 listopada pojawił się jednak ostateczny tekst projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (UC32), a 17 listopada skierowany został do I czytania w Sejmie.

Firmy mogą już teraz śmiało rozpocząć wdrażanie nowych procedur. Czas między publikacją a wejściem ustawy w życie wynosi zaledwie jeden miesiąc, co oznacza, że przedsiębiorstwa będą miały tylko 30 dni na wprowadzenie wymaganych zmian - tłumaczy Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji.

Rosnące zagrożenie w sieci - dlaczego NIS 2 jest potrzebna?

W ostatnich latach coraz częściej słyszymy o cyberatakach paraliżujących działalność firm i instytucji. Phishing, ransomware czy skimming to tylko niektóre z pojęć, które niestety na stałe weszły do słownika współczesnego biznesu. Im większa i bardziej strategiczna dla gospodarki jest firma, tym atrakcyjniejszym celem staje się dla cyberprzestępców.

Dyrektywa NIS 2 nie zapewni całkowitego wyeliminowania ataków hackerskich. Jej zadaniem jest danie narzędzi, które pozwolą firmom szybko podnieść się po incydencie, bez dużych przestojów i strat finansowych. NIS 2 ma przede wszystkim zapewnić ciągłość działania i stabilność funkcjonowania firm - wyjaśnia Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji.

Nie tylko wielkie korporacje - NIS 2 dotyczy większości firm

Dyrektywa NIS 2 obejmie szeroki zakres przedsiębiorstw, które zostały podzielone na trzy grupy: podmioty kluczowe, podmioty ważne oraz inne organizacje spełniające określone kryteria dotyczące wielkości lub obrotu. Wszystkie te jednostki są uznawane za istotne z punktu widzenia stabilnego funkcjonowania państwa.

Podmiotami kluczowymi są organizacje, których działalność ma strategiczne znaczenie i których ewentualne wyłączenie mogłoby zagrozić bezpieczeństwu kraju – na przykład instytucje medyczne, wojskowe czy bankowe.

Podmioty ważne to te, których działalność jest również istotna, ale państwo jest w stanie funkcjonować bez nich przez krótki okres.

Z kolei trzecią kategorię stanowią przedsiębiorstwa zatrudniające ponad 50 pracowników i osiągające roczny obrót przekraczający przynajmniej 10 milionów euro.

Dyrektywa obejmie także firmy świadczące usługi dla wymienionych wcześniej podmiotów lub działające w ich łańcuchach dostaw. Ma to kluczowe znaczenie - przedsiębiorstwa będą zobowiązane do wyboru kontrahentów posiadających podobny poziom zabezpieczeń i procedur bezpieczeństwa, co one same. Szacuje się, że w efekcie NIS 2 obejmie aż 80-90% podmiotów funkcjonujących na polskim rynku - mówi Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji.

Kary i terminy

Dyrektywa NIS 2 określa maksymalne poziomy sankcji za naruszenia zasad cyberbezpieczeństwa i to właśnie z niej wynikają progi:

• do 10 mln euro lub 2% rocznego obrotu za poprzedni rok - dla podmiotów kluczowych
• do 7 mln euro lub 1,4% rocznego obrotu za poprzedni rok - dla podmiotów ważnych

Polski projekt ustawy, wdrażając dyrektywę NIS 2, przewiduje jednak dodatkowo jeszcze wyższy próg sankcji, który może zostać zastosowany wobec podmiotów kluczowych i ważnych. Zgodnie z projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, w przypadku poważnych naruszeń, które powodują bezpośrednie i istotne zagrożenie dla bezpieczeństwa państwa, życia lub zdrowia ludzi, albo grożą poważnymi stratami finansowymi lub zakłóceniem świadczenia usług, możliwe będzie nałożenie kary sięgającej nawet 100 mln zł.

Projekt przewiduje ponadto wprowadzenie kar okresowych, czyli sankcji nakładanych za każdy dzień zwłoki w wykonaniu decyzji organu właściwego ds. cyberbezpieczeństwa. Takie opłaty mają wynosić od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Mogą zostać nałożone m.in. w sytuacji, gdy organizacja nie zastosuje się do nakazu dotyczącego obsługi incydentu, nie zaprzestanie naruszenia przepisów ustawy, czy nie zrealizuje obowiązkowych działań lub zaniedba obowiązek przeprowadzenia szkoleń z zakresu cyberhigieny.

Utrudnieniem może być to, że zadaniem każdej firmy będzie sprawdzenie, czy w ogóle podlega nowym przepisom. Nie jest to łatwe, bo zarówno dyrektywa, jak i projekt ustawy posługują się wieloma nieprecyzyjnymi definicjami. Każda organizacja musi ocenić to samodzielnie. Jeśli firma zostanie zakwalifikowana jako podmiot kluczowy lub ważny, ma:

• 3 miesiące na złożenie wniosku o wpis do rejestru,
• 6 miesięcy na wdrożenie wszystkich wymaganych środków cyberbezpieczeństwa.

Dla dużych organizacji może to być ogromne wyzwanie. Dyrektywa NIS 2 obowiązuje bezpośrednio już od października 2024 roku, dlatego nie warto czekać na ostatnią chwilę z dostosowaniem się do przepisów. To właśnie moment, by rzetelnie ocenić poziom przygotowania swojej organizacji i już teraz rozpocząć prace nad wprowadzeniem odpowiednich procedur bezpieczeństwa, ponieważ ustawa jest gotowa i czeka jedynie na zielone światło.

Odpowiedzialność zarządu za cyberbezpieczeństwo

Ważnym elementem wdrożenia dyrektywy NIS 2 w Polsce będzie wprowadzenie osobistej odpowiedzialności członków zarządu za zapewnienie odpowiedniego poziomu ochrony informacji w firmie. To pierwsza tak jednoznaczna regulacja, która pokazuje, że kierownictwo przedsiębiorstwa nie będzie mogło unikać konsekwencji zaniedbań w obszarze bezpieczeństwa. W praktyce oznacza to, że członkowie zarządu mogą ponosić odpowiedzialność majątkową - w skrajnych przypadkach obejmującą prywatny majątek, taki jak dom, samochód czy rachunek bankowy.

To wyraźny sygnał, że nadzór nad bezpieczeństwem staje się realnym obowiązkiem strategicznym, a nie tylko formalnością. Zarząd osobiście nie ucieknie ani nie ogłosi upadłości, żeby uniknąć odpowiedzialności. To dodatkowy aspekt, który ma skłonić firmy do podjęcia działań wcześniej, zanim dojdzie do incydentu.

Nie jestem zwolennikiem tego, żeby wszystkie ustawy związane z bezpieczeństwem informacji, regulować tylko w celu spełnienia wymogów ustawowych. Szukamy najlepszych szkół dla naszych dzieci, wyposażamy domy w najlepszej jakości, materiały, monitoringi, jeździmy na cudowne wakacje, tylko zapominamy o tym, że na to wszystko pracują nasze firmy i to z nich mamy środki finansowe na to, żeby korzystać z życia, więc powinniśmy zabezpieczyć swój portfel w pierwszej kolejności - podkreśla Karolina Praszek-Gołębiewska.

Bezpieczeństwo warunkiem współpracy. Firmy powinny weryfikować swoich partnerów

Dyrektywa NIS 2 wprowadza również obowiązek weryfikacji kontrahentów przed nawiązaniem współpracy. Firmy będą musiały sprawdzać, na jakich systemach informatycznych pracują ich partnerzy, jakie stosują zabezpieczenia, czy znajdują się pod opieką inspektora ochrony danych oraz w jaki sposób chronią się przed cyberatakami.

Chodzi o to, żeby w momencie, kiedy dopuścimy inne firmy do naszej infrastruktury albo damy im nasze dane, one były tak samo bezpieczne, jak my.

Weryfikacja kontrahenta najczęściej rozpoczyna się od ankiet i deklaracji bezpieczeństwa, które pozwalają wstępnie ocenić poziom zabezpieczeń. Kolejnym krokiem są audyty bezpieczeństwa, szczególnie popularne w sektorze finansowym, gdzie instytucje dokładnie sprawdzają, jak ich podwykonawcy postępują z danymi i czy spełniają wymogi ochrony informacji.

Utrzymanie spójnego i bezpiecznego łańcucha dostaw możliwe jest tylko wtedy, gdy mamy zgodność poziomu zabezpieczeń - tłumaczy Karolina Praszek-Gołębiewska.