Co to jest dyrektywa NIS 2?
Nowa dyrektywa NIS 2 dotycząca cyberbezpieczeństwa, która w całości zastąpi obecnie obowiązującą dyrektywę NIS, wprowadza szereg istotnych zmian. Jest swego rodzaju doprecyzowaniem i jakościową zmianą w zakresie przepisów dotyczących cyberbezpieczeństwa. Kluczową zmianą, o której należy na pewno powiedzieć – to istotne rozszerzenie zakresu podmiotów, które będą miały określone obowiązki dotyczące cyberbezpieczeństwa. Dyrektywa NIS 2 odchodzi od dotychczasowego podziału na operatorów usług kluczowych oraz dostawców usług cyfrowych, wprowadzając zupełnie nowe dwie kategorie – podmiotów niezbędnych i podmiotów istotnych. Zmienia się również kryterium, według którego te podmioty będą kwalifikowane. Zmiany dotyczą również nadzoru nad efektywnością i stosowania tych przepisów. Uwagę przykuwają przede wszystkim kary administracyjne – nawet do 10 milionów euro lub 2% obrotu. Zmianom ulegają również zasady dotyczące raportowania incydentów bezpieczeństwa. Zarówno sama procedura, jak i skutki jej niedochowania będą wyglądały trochę inaczej.
Dlaczego uwzględnienie dyrektywy NIS 2 w KSC jest tak ważne?
Zakres zmian wprowadzanych przez dyrektywę NIS 2 wskazuje, że pracy będzie sporo – najpierw z implementacją prawną, a potem z wdrożeniem w praktyce. I co istotne – zmiany w dyrektywie nie są w pełni spójne ze zmianami, które obecnie planowane są w zakresie nowelizacji krajowych przepisów dotyczących cyberbezpieczeństwa – czyli ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Niewątpliwie KSC powinien uwzględnić dyrektywę NIS 2. Tymczasem z ostatniego wywiadu udzielonego przez Pełnomocnika Rzadu Ds. Cyberbezpieczeństwa o postępie prac nad nowelizacją KSC, który ukazał się 4 dni po uchwaleniu NIS2 przez Parlament wynika, że nie są planowane modyfikacje KSC, a więc NIS2 zostanie pominięta. NIS2 wejdzie w życie prawdopodobnie do końca roku po zatwierdzeniu przez Radę UE, a w Polsce prawdopodobnie wciąż będą prowadzone prace legislacyjne nad niespójną nowelizacją KSC.
Co się wydarzy, jeśli Polska nie wdroży dyrektywy NIS 2?
Może to doprowadzić do sytuacji, w której równolegle będziemy mieli dwa duże projekty zmieniające porządek prawny i regulacyjny w zakresie cyberbezpieczeństwa. Jeżeli dojdzie do przyjęcia zmian w KSC – konieczne będzie wdrożenie kolejnych zmian, które będą efektem implementacji dyrektywyn NIS 2. Obowiązek jej wdrożenia nieuchronnie przyjdzie. Taki stan rzeczy w obszarze cyberbezpieczeństwa nie wydaje się sprzyjać ani przedsiębiorcom, ani ogólnemu poziomowi bezpieczeństwa w kraju. Cyberbezpieczeństwo jest takim obszarem, który wymaga spokoju i pełnej analizy skutków regulacji dla przedsiębiorców i dla poziomu cyberochrony. Mając to wszystko na uwadze wydaje się, że obecnie zdecydowanie bardziej właściwym rozwiązaniem byłoby zatrzymanie prac legislacyjnych i zastanowienie się nad połączeniem obu tych projektów – a następnie procedowanie ich wspólnie, jako jednego projektu. Takiego, który z jednej strony przejmowałby część rozwiązań instytucji planowanych w obecnej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, a z drugiej strony wdrażałby zmiany wynikające z dyrektywy NIS 2. Podsumowując, Krajowy System Cyberbezpieczeństwa powinien poczekać na dyrektywę NIS 2 tak, aby prawidłowo wdrożyć wszystkie nowe obowiązki wynikające z tego aktu prawnego.
Co jest kluczową zmianą według dyrektywy NIS 2?
Głównym celem NIS 2 jest doprowadzenie do większej harmonizacji przepisów dotyczących cyberbezpieczeństwa na terenie UE. Ma to zapobiec przyjmowaniu różnych standardów i wymogów przez państwa członkowskie. Zgodnie z NIS 2 ocena ryzyka m.in. usług i produktów ICT wykonywana będzie na szczeblu UE i przy udziale przedstawicieli poszczególnych państw członkowskich. Takie rozwiązanie pozwala na koordynację działań oraz – co szczególnie istotne – budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej UE.