Cyberbezpieczeństwo wymaga regulacji prawnych?
Koniecznie! W ostatnim czasie obserwujemy istotny wzrost znaczenia i zainteresowania kwestiami cyberbezpieczeństwa. Jest to naturalny efekt tego, że wiele procesów – zarówno w naszym codziennym życiu, jak i w działalności przedsiębiorstw – przeniosła się do świata cyfrowego. Z drugiej strony mamy rosnącą zarówno liczbę, jak i skalę niebezpieczeństw, zagrożeń w świecie cyfrowym. W związku z tym obserwujemy również wzrost znaczenia regulacji dotyczących cyberbezpieczeństwa. Co chwila pojawiają się nowe przepisy. We wrześniu 2020 r. Minister Cyfryzacji przedstawił projekt nowelizacji Krajowego Systemu Cyberbezpieczeństwa (KSC). Prace nad nim trwają już prawie dwa lata – a projekt podlegał zasadniczym zmianom. Jednocześnie na poziomie Unii Europejskiej wchodzi nowa dyrektywa dotyczącej cyberbezpieczeństwa – dyrektywa NIS 2, która w całości zastąpi dyrektywę NIS – czyli główny akt prawny dotyczący cyberbezpieczeństwa. Do jej wejścia w życie wymagane jest jedynie zatwierdzenie przez Radę UE. Co istotne, przepisy te muszą zostać implementowane do krajowych porządków prawnych wszystkich państw w Unii Europejskiej. Dlatego KSC musi uwzględnić zapisy dyrektywy NIS2. W przeciwnym razie może się okazać, że nowa wersja krajowych przepisów od razu będzie wymagać kolejnych zmian.
Dlaczego Unia Europejska wprowadza nową dyrektywę o cyberbezpieczeństwie?
Jeżeli chodzi o przyczyny, to wydaje się, że podstawową jest potrzeba większej harmonizacji. Oznacza to zbudowanie jednolitego poziomu cyberbezpieczeństwa w poszczególnych państwach członkowskich Unii Europejskiej. Zresztą wprost z uzasadnienia dyrektywy NIS 2 wynika, że to jest główna przyczyna rozpoczęcia pracy nad nowymi przepisami. Równolegle unijny ustawodawca wskazuje na przyspieszenie cyfrowe, będące między innymi efektem pandemii koronawirusa w ostatnim czasie, a także na zwiększającą się liczbę zagrożeń w świecie cyfrowym. Skoro celem jest lepsza harmonizacja – to na pewno kluczową rolę odegra prawidłowe wdrożenie tych przepisów do krajowych porządków prawnych. Prawidłowe, to znaczy poprzedzone szerokimi konsultacjami, ale też akcją informacyjną – informowaniem przedsiębiorców o tym, że za już za chwilę będą mieli nowe obowiązki tak, aby wiedzieli do czego muszą się przygotować. Podsumowując – dyrektywa NIS 2 to dość istotna zmiana jakościowa, jeżeli chodzi o treść przepisów dotyczących cyberbezpieczeństwa. Raczej nie mamy do czynienia z rewolucją, natomiast zakres zmian oznacza, że prace nad prawidłową implementacją warto rozpocząć już teraz.
Co zmienia dyrektywa NIS 2?
Dyrektywa NIS 2 istotnie zmienia regulacyjny krajobraz cyberbezpieczeństwa. Zgodnie z NIS 2 ocena ryzyka – m.in. usług i produktów ICT – wykonywana będzie na szczeblu UE i przy udziale przedstawicieli poszczególnych państw członkowskich. Takie rozwiązanie pozwala na koordynację działań oraz budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa wprost nakazuje uwzględnianie przede wszystkim czynników o charakterze technicznym oraz wskazuje na to, że taka ocena powinna uwzględniać wyniki na poziomie całej Unii Europejskiej. Polska ma obowiązek implementacji i wdrożenia NIS 2. W tym kontekście należy się zastanowić, dlaczego unijny ustawodawca zdecydował się na dokonanie zmiany i wprowadzenie nowej dyrektywy – pomimo, że od wprowadzenia dyrektywy NIS wcale nie minęło tak dużo czasu.
Jakie będą efekty tej dyrektywy?
Szacuje się, że firmy objęte NIS 2 będą musiały zwiększyć wydatki na obszar cyberbezpieczeństwa nawet o 22%. Firmy już objęte NIS poniosą wydatki większe o 12%. Wydatki te powinny się jednak zwrócić ze względu na niższe koszty związane z incydentami – aż 11,3 mld Euro to szacowane obniżenie kosztów incydentów cybernetycznych dzięki NIS 2.
Niemniej mając na uwadze, że w Polsce wciąż prowadzone są prace nad nowelizacją KSC, a z wypowiedzi Pełnomocnika Rzadu Ds. Cyberbezpieczeństwa Pana Ministra Janusza Cieszyńskiego wynika, że KPRM nie przewiduje już istotnych modyfikacji wynika, że polscy przedsiębiorcy mogą zostać zobowiązani dwukrotnie do poniesienie kosztów wdrożenia obu regulacji.