Przygotuj się na implementację przepisów dyrektywy NIS II

Do 17 października 2024 r. państwa członkowskie mają czas na implementację przepisów dyrektywy NIS II zmieniającej zasady bezpieczeństwa w organizacjach — podmiotach prawa prywatnego oraz podmiotach publicznych. Polska wdroży przedmiotowe przepisy ustawą o zmianie ustawy o krajowym systemie bezpieczeństwa oraz niektórych innych ustaw, której projekt został opublikowany w kwietniu br.

Nowe zasady cyberbezpieczeństwa

Dyrektywa NIS II zmienia przepisy dyrektywy NIS, aktu dotyczącego bezpieczeństwa sieci i systemów informatycznych. W porównaniu do dotychczasowej dyrektywy, nowelizacja rozszerza katalog podmiotów objętych przepisami.

Ustawodawca europejski wprowadza także nowe uprawnienia w zakresie egzekwowania regulacji, w tym w szczególności możliwość nakładania wysokich kar pieniężnych, sankcji karnych oraz ustanawia daleko idącą odpowiedzialności osób fizycznych kierujących organizacją.

Nowa dyrektywa ma także zapewnić zgodność przepisów dotyczących cyberbezpieczeństwa z przepisami sektorowymi, m.in. z rozporządzeniem DORA, określającym zasady zarządzania ryzykiem i cyberbezpieczeństwa podmiotów finansowych, a także podmiotów świadczących usługi na ich rzecz.

NIS II znacznie zwiększa zakres dotychczasowych obowiązków w zakresie stosowanych standardów bezpieczeństwa oraz sposobu raportowania wystąpienia naruszeń.

Tysiące podmiotów objętych stosowaniem przepisów ustawy wdrażającej przepisy NIS II zostanie obowiązanych do wprowadzenia systemu zarządzania bezpieczeństwem informacji w procesach świadczenia usług. Krajowy system cyberbezpieczeństwa ma bowiem za zadanie chronić obywateli, podmioty prywatne i instytucje publiczne.

Podmioty obowiązane do stosowania przepisów NIS II

Zgodnie z projektem ustawy implementującej dyrektywę NIS II, zmianie ulega katalog podmiotów obowiązanych do stosowania przepisów ustawy. Wyodrębniono dwie grupy podmiotów:

podmioty ważne — m.in.:

dostawcy wyszukiwarek internetowych lub internetowych platform handlowych,
dostawcy platform społecznościowych,
organizacje badawcze,
przedsiębiorstwa świadczące usługi zbierania, transportu lub przetwarzania odpadów,

podmioty kluczowe — m.in.:

podmioty lecznicze,
podmioty produkujące podstawowe substancje farmaceutyczne i leki, hurtownie farmaceutyczne i apteki,
dostawcy punktu wymiany ruchu internetowego,
rejestry nazw domen najwyższego poziomu,
dostawcy usług chmurowych, usług ośrodka przetwarzania danych,
dostawcy sieci przetwarzania treści,
podmioty świadczące usługi rejestracji nazw domen,
banki, instytucje kredytowe.

Na gruncie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, zarówno podmioty kluczowe, jak i podmioty ważne, będą musiały same ocenić podleganie przepisom ustawy oraz zarejestrować się w systemie.

Podstawowe obowiązki podmiotów kluczowych i ważnych

Podmioty kluczowe i ważne będą zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach związanych ze świadczeniem usług przez te podmioty.

Do najistotniejszych obowiązków podmiotów objętych zakresem ustawy należą:

stosowanie podejścia opartego na ryzyku,
stosowanie nowych zasad zgłaszania incydentów do jednostek CSIRT,
przeprowadzanie audytów bezpieczeństwa co 2 lata,
korzystanie z systemu s 46, służącego do zgłaszania informacji o incydentach, zagrożeniach i podatnościach,
realizowanie poleceń zabezpieczających Ministra Cyfryzacji, stanowiących reakcję na incydenty krytyczne.

Terminy

Przepisy ustawy o zmianie ustawy o krajowym systemie bezpieczeństwa oraz niektórych innych ustaw mają obowiązywać po miesiącu od dnia ogłoszenia w Dzienniku Ustaw.

Nowe podmioty kluczowe i podmioty ważne będą musiały realizować obowiązki wynikające z w/w ustawy w ciągu 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Podmioty, które na dzień wejścia w życie przepisów będą spełniać określone w nich przesłanki, wdrożą nowe obowiązki w ciągu 6 miesięcy od dnia wejścia w życie przepisów.

Joanna Górska, radca prawny

19 czerwca 2024

udostępnij: